Безопасность облачных сервисов: Безопасность облачных сервисов

Безопасность облачных сервисов

По оценке компании Gartner, в 2014 г. публичными облачными сервисами пользовались лишь 8% компаний по всему миру без учета Индии и Китая, которые демонстрируют иные темпы прогресса. Аналитики ожидают, что организациям удастся преодолеть ментальный барьер только в 2015 г. и массово перейти «в облака» лишь к 2017 г., когда облачной инфраструктурой смогут похвастаться уже 33% компаний. В 2022 г. к данной категории можно будет отнести уже 60% организаций.

Почему же не происходит облачного скачка сегодня? Одной из основных причин являются вопросы безопасности. Эксперты отмечают, что рынок информационной безопасности (ИБ) намного более инертен, чем сфера высоких технологий в целом. Пользователи долгое время присматриваются к новым решениям, выжидают, ищут успешные кейсы и только тогда задумываются о том, чтобы в реальности применить новые инструменты.

Все это приводит к тому, что, отвечая на вопросы «Лаборатории Касперского», опрошенные ИТ-эксперты признали, что лишь 18% компаний приняли все меры по обеспечению информационной безопасности облачных сред, в то время как в 65% организаций защита внедрена частично, а 14% компаний вообще пока об этом не задумывалось.

Разным облакам – разная защита

Впрочем, нельзя мерить все «облака» под одну гребенку. В зависимости от особенности деятельности, приложений и требований к безопасности, инфраструктура компании может быть построена на базе частного, гибридного или публичного облака. В первом случае облачная инфраструктура используется только для нужд самой компании. Она может быть развернута на серверах, арендованных в защищенном центре обработки данных, или на собственных мощностях, например, специально установленном для этих задач кластере.

Некоторые компании вообще не испытывают облачных страхов, так как используют новые технологии исключительно для удобства администрирования и повышения эффективности использования вычислительных ресурсов и хранилищ данных. «Практически все наши корпоративные сервисы построены на базе облачных технологий, но мы не беспокоимся об их безопасности, так как пользователи входят в систему со своих ноутбуков, находясь в рамках корпоративной сети, – комментирует

Михаил Петров, директор департамента информационных систем оргкомитета олимпиады в Сочи. – В связи с используемой архитектурой мы просто не испытываем потребности в дополнительной защите».

Впрочем, в упомянутом выше прогнозе аналитики Gartner отмечают использование множества мобильных устройств как основной драйвер к развитию рынка облачных технологий. По оценке экспертов в ближайшем будущем сотрудники компаний будут использовать до 4 различных портативных устройств, таких как планшеты, смартфоны, ноутбуки и нетбуки. А организовать доступ к корпоративным системам для такого количества систем оказывается значительно проще на базе облачной инфраструктуры. И в данном случае имеет смысл говорить об обеспечении безопасности доступа. С этой целью применяются различные технологии шифрования, сертификаты удостоверяющих центров и прочие средства безопасности, проверяющие легитимность подключения клиента к облаку.

«Помимо собственно облачных сервисов, необходимо также помнить о безопасности канала связи и о конечных устройствах, которые используются на стороне клиента. Не менее важны внутренние политики, регламентирующие, кто из сотрудников имеет доступ к данным в облаке, или информацию какого уровня секретности можно хранить в облаке. В компании должны быть сформированы прозрачные правила: какие службы и сервисы будут работать из облака, а какие – на локальных ресурсах, какую именно информацию стоит хранить «у себя», а какую можно размещать в облаках» – делится своими соображениями

Константин Воронков, руководитель отдела Endpoint-решений «Лаборатории Касперского».

Публичные облака

Наибольшее количество вопросов в сфере безопасности вызывают именно публичные облака. Дело в том, что получить доступ к ним может почти любой желающий, и беспокойство о гарантиях безопасности оказывается очень высоким, если на одном и том же физическом сервере хранятся бизнес-данные и информация частных пользователей.

«Главным вопросом является сложность аудита и контроля систем информационной безопасности для клиента, – рассказывает Константин Воронков. – Размещая свою информацию в публичном облачном сервисе, компания не имеет возможности проверить уровень обеспечения безопасности. И даже если провайдеры облачных сервисов допускают своих клиентов к проведению аудита информационной безопасности своих серверов, далеко не у каждого клиента найдутся специалисты необходимой квалификации».

Впрочем, провайдеры уверяют, что в большей части случаев опасения беспочвенны, так как для защиты публичных облаков делается очень многое. «Мы абсолютно убеждены, что защита данных пользователей, и частных и корпоративных, имеет первостепенное значение – от качества этой защиты зависит уровень доверия к провайдеру облачных услуг. В Google cотни инженеров по безопасности во всем мире круглосуточно работают над этой задачей. Высочайший уровень безопасности облачных сервисов Google подтвержден международными сертификатами, независимыми аудиторами, отраслевыми рейтингами и самими заказчиками, число которых по всему миру превышает 5 млн», – комментирует Сергей Ненарочкин, менеджер по развитию Google Enterprise.

Приложения и платформы

Тем временем современная облачная инфраструктура позволяет предоставлять в качестве сервисов приложения, системы, платформы или даже целую инфраструктуру. Однако, как показывает практика, наиболее популярной услугой оказывается предоставление доступа к приложениям. Это связано с тем, что на большинстве устройств уже имеется операционная система, позволяющая пользователю комфортно работать. А вот корпоративные приложения очень даже удобно предоставлять из облака. «Мы пользуемся облачными сервисами в трех областях: CRM, HR и электронная почта. CRM-система находится на внешних серверах с системным и прикладным программным обеспечением стороннего производителя, она надежно защищена, и в ней мы храним информацию о заказчиках, и партнерах. Всю информацию о наших сотрудниках, включая контактные данные, название позиции, штатное расписание, мы также храним вне нашей инфраструктуры, – рассказывает

Андрей Ковалев, директор по корпоративным решениям «Dell Россия». – Почтовый сервис позволяет сотрудникам получить удаленный и надежно-защищенный доступ к корпоративной переписке с любого компьютера или устройства, находясь в любой точке мира».

Подход к защите информации в данном случае крайне прост: выбирается подрядчик, прошедший соответствующий аудит и получил сертификаты рейтинговых агентств, устанавливаются ограничения доступа к системам согласно ролевой модели, а на конечных устройствах размещается защитное ПО, которое позволяет гарантировать сохранность и защищенность данных при их работе. Более того, при подключении к облачному сервису может происходить проверка защищенности рабочего места. И если с ноутбуком, смартфоном, планшетом или стационарным ПК что-то «не так», например, отсутствует обновленный антивирус или не включен модуль защиты от утечек, система может автоматически привести данные параметры к норме или отказать в предоставлении доступа.

Наконец, интересной особенностью российского бизнеса является возможность использования облачных сервисов для оптимизации своих бизнес-процессов, в том числе – защиты информации. В крупных компаниях, которые уже имеют свою собственную развитую инфраструктуру, миграция на внешнюю платформу требует тщательной подготовки, виртуализации существующих приложений и долгое время подразумевает сосуществование собственной ИТ-инфраструктуры и приложений/систем, работающих на внешних площадках.

Тем временем множество российских компаний до сих пор находятся на крайне низком уровне автоматизации, работая исключительно с офисными приложениями и составляя все отчеты в простых таблицах Excel. Для них миграция в облако равносильна созданию надежной ИТ-среды, за которую будет отвечать подрядчик. Впрочем, в этом случае остается самый важный вопрос: верно выбрать исполнителя и правильно составить с ним договор.

Андрей Шуклин

Источник: http://www.cnews.ru/reviews/index.shtml?2015/03/24/594196

Безопасность в облаках. Изучаем безопасность облачных сервисов на примере инфраструктуры Яндекса

Содержание статьи

Существует несколько методов построения корпоративной IT-инфраструктуры. Развертывание всех ресурсов и сервисов на базе облачной платформы — лишь один из них. Однако преградой на этом пути часто становятся предрассудки, касающиеся безопасности облачных решений. В этой статье мы разберемся, как устроена система безопасности в облаке одного из самых известных российских провайдеров — Яндекса.

 

Сказка — ложь, да в ней намек

Начало этой истории можно рассказывать, как известную сказку. Было в фирме три админа: старший умный был детина, средний был и так и сяк, младший вовсе был… стажером-эникейщиком. Заводил юзеров в Active Directory и крутил хвосты цискам. Пришло время компании расширяться, и призвал царь, то есть босс, свое админское воинство. Желаю, говорит, новые веб-сервисы для наших клиентов, собственное файловое хранилище, управляемые базы данных и виртуальные машины для тестирования софта.

Младшенький с ходу предложил создать с нуля собственную инфраструктуру: закупить серверы, установить и настроить софт, расширить основной интернет-канал и добавить к нему резервный — для надежности. И фирме спокойнее: железо всегда под рукой, в любой момент чего-нибудь заменить или перенастроить можно, и самому ему представится отличная возможность прокачать свои админские скиллы. Подсчитали и прослезились: не потянет компания таких затрат. Крупному бизнесу подобное под силу, а вот для среднего и малого — слишком накладно получается. Это ж нужно не просто оборудование приобрести, серверную оборудовать, кондиционеры повесить да противопожарную сигнализацию наладить, требуется еще и посменное дежурство организовать, чтобы денно и нощно за порядком следить и отражать сетевые атаки лихих людей из интернета. А по ночам и в выходные админы работать почему-то не захотели. Если только за двойную оплату.

Старший админ поглядел задумчиво в окошко терминала и предложил поместить все сервисы в облако. Но тут его коллеги принялись пугать друг друга страшилками: дескать, облачная инфраструктура имеет незащищенные интерфейсы и API, плохо балансирует нагрузку разных клиентов, из-за чего могут пострадать твои собственные ресурсы, а еще неустойчива к краже данных и внешним атакам. Да и вообще, боязно передавать контроль над критичными данными и ПО посторонним лицам, с которыми ты не съел пуд соли и не выпил ведро пива.

Средненький подал идею разместить всю IT-систему в дата-центре провайдера, на его каналах. На том и порешили. Однако тут нашу троицу поджидало несколько неожиданностей, не все из которых оказались приятными.

Во-первых, любая сетевая инфраструктура требует обязательного наличия средств защиты и безопасности, которые, конечно, были развернуты, настроены и запущены. Только вот стоимость используемых ими аппаратных ресурсов, как оказалось, должен оплачивать сам клиент. А ресурсы современная система ИБ потребляет немалые.

Во-вторых, бизнес продолжал расти и построенная изначально инфраструктура быстро уперлась в потолок масштабируемости. Притом для ее расширения простой смены тарифа оказалось недостаточно: многие сервисы в этом случае пришлось бы переносить на другие серверы, перенастраивать, а кое-что и вовсе перепроектировать заново.

Наконец, однажды из-за критической уязвимости в одном из приложений вся система упала. Админы быстро подняли ее из резервных копий, только вот оперативно разобраться в причинах случившегося не удалось, поскольку для сервисов логирования резервное копирование настроить забыли. Ценное время было потеряно, а время, как гласит народная мудрость, — это деньги.

Подсчет расходов и подведение итогов привели руководство компании к неутешительным выводам: прав был тот админ, который с самого начала предлагал воспользоваться облачной моделью IaaS — «инфраструктура как сервис». Что же касается безопасности таких платформ, то об этом стоит поговорить отдельно. И сделаем мы это на примере самого популярного из подобных сервисов — Яндекс.Облака.

 

Безопасность в Яндекс.Облаке

Начнем, как советовал девочке Алисе Чеширский Кот, с начала. То есть с вопроса разграничения ответственности. В Яндекс.Облаке, как и в любых других подобных платформах, провайдер отвечает за безопасность предоставляемых пользователям сервисов, в то время как в сферу ответственности самого клиента входит обеспечение правильной работы разрабатываемых им приложений, организация и разграничение удаленного доступа к выделенным ресурсам, конфигурирование баз данных и виртуальных машин, контроль над ведением логов. Впрочем, для этого ему предоставляется весь необходимый инструментарий.

Безопасность cloud-инфраструктуры Яндекса имеет несколько уровней, на каждом из которых реализованы собственные принципы защиты и применяется отдельный арсенал технологий.

 

Физический уровень

Ни для кого не секрет, что Яндекс располагает собственными дата-центрами, которые обслуживают собственные же отделы безопасности. Речь идет не только о видеонаблюдении и службах контроля доступа, призванных предотвратить проникновение в серверные посторонних, но и о системах поддержания климата, пожаротушения и бесперебойного питания. От суровых охранников мало толку, если стойку с вашими серверами однажды зальет водой из противопожарных оросителей или они перегреются после отказа кондиционера. В дата-центрах Яндекса такого с ними точно не случится.

Кроме того, аппаратные средства Облака физически отделены от «большого Яндекса»: они расположены в разных стойках, но в точности так же проходят регулярное регламентное обслуживание и замену комплектующих. На границе этих двух инфраструктур используются аппаратные файрволы, а внутри Облака — программный Host-based Firewall. Кроме того, на коммутаторах Top-of-the-rack применяется система управления доступом ACL (Access Control List), что значительно повышает безопасность всей инфраструктуры.
Яндекс на постоянной основе проводит сканирование Облака извне в поисках открытых портов и ошибок в конфигурации, благодаря чему потенциальную уязвимость можно распознать и ликвидировать заранее. Для работающих с ресурсами Облака сотрудников реализована централизованная система аутентификации по ключам SSH с ролевой моделью доступа, а все сессии администраторов логируются. Такой подход является частью повсеместно применяемой Яндексом модели Secure by default: безопасность закладывается в IT-инфраструктуру еще на этапе ее проектирования и разработки, а не добавляется потом, когда все уже запущено в эксплуатацию.

 

Инфраструктурный уровень

На уровне «аппаратно-программной логики» в Яндекс. Облаке используются три инфраструктурных сервиса: Compute Cloud, Virtual Private Cloud и Yandex Managed Services. А теперь о каждом из них чуть подробнее.

Compute Cloud

Этот сервис предоставляет масштабируемые вычислительные мощности для различных задач, таких как размещение веб-проектов и высоконагруженных сервисов, тестирование и прототипирование или временная миграция IT-инфраструктуры на период ремонта либо замены собственного оборудования. Управлять сервисом можно через консоль, командную строку (CLI), SDK или API.

Безопасность Compute Cloud базируется на том, что все клиентские виртуальные машины используют минимум два ядра, а при распределении памяти не применяется overcommitment. Поскольку в этом случае на ядре исполняется только клиентский код, система не подвержена уязвимостям вроде L1TF, Spectre и Meltdown или атакам на побочные каналы.

Кроме того, Яндекс использует собственную сборку Qemu/KVM, в которой отключено все лишнее, оставлен только минимальный набор кода и библиотек, необходимых для работы гипервизоров. При этом процессы запускаются под контролем инструментария на базе AppArmor, который с использованием политик безопасности определяет, к каким системным ресурсам и с какими привилегиями может получить доступ то или иное приложение. AppArmor, работающий поверх каждой виртуальной машины, уменьшает риск того, что клиентское приложение сможет получить доступ из ВМ к гипервизору. Для получения и обработки логов Яндекс выстроил процесс поставки данных от AppArmor и песочниц в собственный Splunk.

Virtual Private Cloud

Сервис Virtual Private Cloud позволяет создавать облачные сети, используемые для передачи информации между различными ресурсами и их связи с интернетом. Физически этот сервис поддерживается тремя независимыми ЦОД. В этой среде логическая изоляция осуществляется на уровне многопротокольного взаимодействия — MPLS. При этом Яндекс постоянно проводит fuzzing стыка SDN и гипервизора, то есть со стороны виртуальных машин во внешнюю среду непрерывно направляется поток неправильно сформированных пакетов с целью получить отклик от SDN, проанализировать его и закрыть возможные бреши в конфигурации. Защита от DDoS-атак при создании виртуальных машин включается автоматически.

Yandex Managed Services

Yandex Managed Services — это программное окружение для управления различными сервисами: СУБД, кластерами Kubernetes, виртуальными серверами в инфраструктуре Яндекс.Облака. Здесь большую часть работы по обеспечению безопасности сервис берет на себя. Все резервное копирование, шифрование резервных копий, Vulnerability management и так далее обеспечивается автоматически программными средствами Яндекс.Облака.

 

Инструменты реагирования на инциденты

Для своевременного реагирования на инциденты, связанные с информационной безопасностью, требуется вовремя определить источник проблемы. Для чего необходимо использовать надежные средства мониторинга, которые должны работать круглосуточно и без сбоев. Такие системы неизбежно будут расходовать ресурсы, но Яндекс.Облако не перекладывает стоимость вычислительных мощностей инструментов безопасности на пользователей платформы.

При выборе инструментария Яндекс руководствовался еще одним важным требованием: в случае успешной эксплуатации 0day-уязвимости в одном из приложений злоумышленник не должен выйти за пределы хоста приложения, в то время как команда безопасности должна моментально узнать об инциденте и среагировать нужным образом.

И последнее, но не самое маловажное пожелание заключалось в том, чтобы все инструменты имели открытый исходный код. Этим критериям полностью соответствует связка AppArmor + Osquery, которую и решено было использовать в Яндекс.Облаке.

 

AppArmor

AppArmor уже упоминался выше: это программный инструмент упреждающей защиты, основанный на настраиваемых профилях безопасности. Профили используют технологию разграничения доступа на основании меток конфиденциальности Mandatory Access Control (MAC), реализуемую с помощью LSM непосредственно в самом ядре Linux начиная с версии 2.6. Разработчики Яндекса остановили свой выбор на AppArmor по следующим соображениям:

• легкость и быстродействие, поскольку инструмент опирается на часть ядра ОС Linux;
• это решение с открытым исходным кодом;
• AppArmor можно очень быстро развернуть в Linux без необходимости писать код;
• возможна гибкая настройка с помощью конфигурационных файлов.

 

Osquery

Osquery — это инструмент мониторинга безопасности системы, разработанный компанией Facebook, сейчас он успешно применяется во многих IT-отраслях. При этом инструмент кросс-платформенный и имеет открытый исходный код.

С помощью Osquery можно собирать информацию о состоянии различных компонентов операционной системы, аккумулировать ее, трансформировать в стандартизированный формат JSON и направлять выбранному получателю. Этот инструмент позволяет писать и направлять приложению стандартные SQL-запросы, которые сохраняются в базе данных rocksdb. Можно настроить периодичность и условия выполнения или обработки этих запросов.

В стандартных таблицах уже реализовано много возможностей, например можно получить список запущенных в системе процессов, установленных пакетов, текущий набор правил iptables, сущности crontab и прочее. «Из коробки» реализована поддержка получения и парсинга событий из системы аудита ядра (используется в Яндекс.Облаке для обработки событий AppArmor).

Сам Osquery написан на C++ и распространяется с открытыми исходниками, можно их модифицировать и как добавлять новые таблицы в основную кодовую базу, так и создавать свои расширения на C, Go или Python.

Полезная особенность Osquery — наличие распределенной системы запросов, с помощью которой можно в режиме реального времени выполнять запросы ко всем виртуальным машинам, находящимся в сети. Это может быть полезно, например, если обнаружена уязвимость в каком-либо пакете: с помощью одного запроса можно получить список машин, на которых установлен этот пакет. Такая возможность широко используется при администрировании больших распределенных систем со сложной инфраструктурой.

 

Выводы

Если мы вернемся к истории, рассказанной в самом начале этой статьи, то увидим, что опасения, заставившие наших героев отказаться от развертывания инфраструктуры на облачной платформе, оказались беспочвенны. По крайней мере, если речь идет о Яндекс.Облаке. Безопасность созданной Яндексом cloud-инфраструктуры имеет многоуровневую эшелонированную архитектуру и потому обеспечивает высокий уровень защиты от большинства известных на сегодняшний день угроз.

При этом за счет экономии на регламентном обслуживании железа и оплате ресурсов, потребляемых системами мониторинга и предупреждения инцидентов, которые берет на себя Яндекс, использование Яндекс.Облака заметно экономит средства малому и среднему бизнесу. Безусловно, полностью отказаться от отдела IT или департамента, отвечающего за информационную безопасность (особенно если обе эти роли объединены в одной команде), не получится. Но Яндекс.Облако существенно снизит трудозатраты и накладные расходы.

Поскольку Яндекс.Облако предоставляет своим клиентам защищенную инфраструктуру со всеми необходимыми инструментами обеспечения безопасности, они могут сосредоточиться на бизнес-процессах, оставив задачи сервисного обслуживания и мониторинга железа провайдеру. Это не устраняет необходимости текущего администрирования ВМ, БД и приложений, но такой круг задач пришлось бы решать в любом случае. В целом можно сказать, что Яндекс.Облако экономит не только деньги, но и время. А второе, в отличие от первого, невосполнимый ресурс.

Безопасность облачных сервисов: анализируем результаты исследования Bitglass

Было много шумихи вокруг преимуществ перехода к облаку. Задача исследования — раскрыть настоящую правду. Соответствует ли облако обещаниям доступности, гибкости и сокращения стоимости?

Основные результаты исследования:

1. Microsoft опередил Google в корпоративном секторе

Продолжается массовый переход на Microsoft Office 365. Редмондская компания доминирует, ее облако планируется к развертыванию у 29% корпоративных клиентов. Google Apps упоминают в планах только 13%.

2. Вредоносные программы и хакеры не являются самыми серьезными проблемами безопасности

Несмотря на серьезные инциденты в 2014 году, доминирующими проблемами безопасности являются несанкционированный доступ (63%), взлом аккаунтов (61%) и вредоносные инсайдеры (43%). Вредоносные программы для DOS/DDOS-атак и нападения на облако находятся внизу списка проблем облачной безопасности.

3. Безопасный доступ к облаку

Чтобы закрыть брешь в безопасности облака оптимальны технологии, основанные на шифровании. Именно такой подход обеспечивает наилучшую защиту данных.

4. Значительные инвестиции лишь немного повлияли на проблемы безопасности

Несмотря на внушительные инвестиции SaaS-провайдеров в безопасность, более 1/3 респондентов считают, что распространенные облачные приложения, такие как Salesforce и Office 365 являются менее безопасными, чем локальные приложения. Только 12 % считают, что эти приложения являются более безопасными.

5. По данным исследования в облака перенесены следующие типы бизнес-приложений:

• Веб-приложения — 43%
• Коммуникации и совместная работа — 39%
• Приложения в области продаж и маркетинга — 30%
• Производительность — 29%
• ИТ-операции — 26%

Корпоративная электронная почта наиболее часто хранится в облаке (45%), затем идут данные о продажах и маркетинге (42%), интеллектуальная собственность (38%) и данные клиентов (31%). Некоторые организации также хранят в облаке конфиденциальные финансовые данные (19%) или данные о здоровье сотрудников (8%).

Было много шума вокруг преимуществ перехода в облако.  Исследователи копнули глубже для того, чтобы узнать правду. 51% респондентов отметили, что облако обеспечивает обещанную гибкость, 50% — доступность. 48% отметили сокращение расходов.

Подавляющее большинство (90 % организаций) обеспокоены безопасностью облачных сред. Сегодня безопасность является самым большим фактором, сдерживающим быстрый переход к облачным вычислениям. Понятно, что IT-компании максимально заботятся о борьбе с угрозами. Общие проблемы безопасности (45%), потери данных или риски утечки данных (41%), потеря контроля (31%) по-прежнему возглавляют список барьеров, которые сдерживают принятие облака.

Почти 80% менеджеров обеспокоены системами облачного хранения данных, доступными сотрудникам и посетителям. Они считают их угрозой конфиденциальности данных и опасным каналом утечек. Это подчеркивает необходимость улучшения прозрачности и контроля данных, покидающих корпоративную сеть.

6. Методы решения проблем

В большинстве случаев компании обеспечивают необходимый уровень безопасности при переходе в облако, сотрудничая с поставщиками облачных услуг (34%), с помощью программного обеспечения (33%), добавляют штат IT, чтобы решать вопросы безопасности облака (31%). Самый популярный способ минимизации рисков — установить и провести в жизнь последовательную политику безопасности облака (31%).

Такие технологии защиты, как шифрование данных в состоянии покоя (65%) и в движении (57%) возглавляют список самых эффективных мер безопасности. Это сопровождается контролем доступа (48%), обнаружением и предотвращением вторжений (IDP — 48%), обучением по вопросам безопасности (45%).

68% опрошенных подчеркнули, что подходы к обеспечению безопасности резко изменились. Классические стратегии, основанные на защите периметра, сегодня не являются целостным ответом на угрозы безопасности облака. Увеличение частоты и эффективности атак сквозь периметр сети и тот факт, что корпоративные данные все чаще и чаще находятся вне компании, подчеркивают необходимость в дополнительных мерах защиты.

По данным http://pages.bitglass.com/Cloud-Security-Report-2015-PDF.html

Безопасность облачных сервисов — обзор на LiveBusiness

2019. В Microsoft OneDrive появилась папка-сейф с усиленной защитой
Сервис облачного хранения файлов OneDrive встроен в Windows, использует ваш общий Microsoft-аккаунт и авторизация в нем происходит в момент входа в Windows. Это удобно, но добавляет риски в случае потери ноутбука или утечки пароля от Microsoft-аккаунта. Поэтому Microsoft решила добавить дополнительный слой безопасности в OneDrive — онлайн директорию Personal Vault с усиленной защитой. Зайти туда можно только введя PIN-код, отпечаток пальца или код, отправленный по SMS или электронной почте. После периода бездействия хранилище блокируется — авторизацию придется проходить заново. На смартфоне можно делать фото и загружать его сразу в Personal Vault — без предварительного сохранения на устройстве. Если вы не пользуетесь Premium-тарифом Office, устанавливается ограничение в три файла для загрузки.

2018. CryptoCRM: безопасность превыше всего

Само название Crypto в переводе с английского означает «шифрование». Основной целью разработчиков CryptoCRM являлось создание самой безопасной системы в мире и это, несомненно, получилось. Ведь Crypto – это первая система в мире, в основе которой используется интеллектуальная нейронная сеть. Ключи шифрования, аналогично Telegram, меняются каждый день, то есть никто не сможет получить доступ к данным вашей системы, даже сами разработчики. Одним из основных требований крупных европейских компаний к CRM-системам является прохождение европейского стандарта безопасности Checklist Secure Web Application 2018. Crypto его превосходит, поэтому очень ценится в Европе. Безопасность системы заключается не только в защите от внешнего воздействия: в систему встроен специальный «Журнал событий», который запишет каждый клик вашего сотрудника внутри системы.

2018. Яндекс проиндексировал личные документы из Google Docs

На днях Яндекс начал выдавать в поиске документы из сервиса Google Docs (Google Drive), для которых пользователи установили доступ по ссылке. Обычно, когда вы выставляете доступ по ссылке, вы рассчитываете на то, что ссылку будут знать только доверенные люди, которым вы и расшариваете документ. Но, как показала практика, пытливые роботы поисковиков тоже могут добраться до таких документов. Яндекс уже среагировал и убрал из поиска эти документы, однако, рекомендуется проверить, какие из ваших документов Google Docs — расшарены (это можно сделать, набрав в поиске «to:»), закрыть к ним доступ, принять во внимание, что, их уже могли просмотреть, и в будущем — важные документы расшаривать только с паролем.

2018. Microsoft и InfoWatch обеспечат безопасное использования облачных сервисов

ГК InfoWatch и Microsoft в России сообщили о создании интеграционного решения для обеспечения безопасности информационных потоков организаций, использующих Microsoft Office 365. Интеграция флагманского продукта по защите компаний от утечек информации (DLP-система) InfoWatch Traffic Monitor с сервисом Microsoft Cloud App Security (часть решения Enterprise Mobility + Security), предназначенного для обеспечения безопасности в облачной среде, позволит существующим и потенциальным клиентам осуществлять централизованное управление политиками защиты данных как на рабочих станциях сотрудников, так и в облачных средах, а также обеспечит централизованный доступ ко всем инцидентам, связанным с угрозами утечек информации. Среди основных преимуществ интеграционного решения – возможность контроля и предотвращения утечек конфиденциальной информации, которую удается детектировать с высокой точностью благодаря уникальным лингвистическим запатентованным технологиям анализа информационных потоков DLP-системы InfoWatch Traffic Monitor. Компании, использующие новое решение, смогут получить полную картину движения своих корпоративных данных в Microsoft Office 365.

2017. Сервис Spinbackup для защиты корпоративных данных в облаке G Suite уже доступен в России

Сервис Spinbackup запустил облачное решение для защиты данных в облаке G Suite. Он предоставляет пользователям автоматическое ежедневное резервное копирование облачных данных в другое защищенное независимое облачное хранилище и аварийное восстановление данных в случае их потери.  В качестве защиты от утечки информации Spinbackup гарантирует  автоматизированное ежедневное сканирование пользовательских аккаунтов G Suite на предмет аномальной активности, а именно аудит сторонних приложений, подключенных к G Suite домену, и определение их уровня рисковости для данных компании, аудит действий сотрудников в домене с целью выявления аномального поведения. Spinbackup ориентирован на малый, средний бизнес, корпорации и образовательные организации.  Для корпоративных клиентов Spinbackup предлагает 2 решения: Backup and Recovery plan — $3 за пользователя в месяц, и Cybersecurity & Backup plan — $5 за пользователя в месяц.

2015. Passwork — отечественный менеджер паролей

У каждой компании есть много корпоративных аккаунтов от хостинга, онлайн сервисов, социальных сетей и т. д. Обычно они хранятся в головах (или блокнотах) отдельных сотрудников, и поэтому, при их увольнении — возникают проблемы. Сервис Passwork предлагает создать единое централизованное хранилище для корпоративных паролей и всегда контролировать, кто имеет к ним доступ. Все пароли шифруются на клиенте (в браузере или мобильном приложении) и на сервер провайдера передаются уже зашифрованными. Пользователи могут создавать группы и приглашать в них других пользователей для совместной работы. В группах можно создавать папки, хранить пароли, ограничивать и настраивать доступ. Passwork можно также установить на собственный сервер. В сервисе есть бесплатная версия с ограничением на 3 группы. Платная без ограничений стоит 290 руб/год за пользователя.

2015. Google переносит свои серверы в российские дата-центры

Как известно, с 1 сентября 2015 вступают в силу поправки к закону о персональных данных 152-ФЗ, обязывающие провайдеров интернет-сервисов хранить персональные данные российских граждан только на территории России. И западные ИТ компании потихоньку все-таки начинают переносить свои сервера в Россию. Недавно свой дата-центр в России открыл SAP. Также, компании eBay и PayPal объявили о скором прибытии. А на днях Ростелеком рассказал, что Google уже тоже некоторое время занимается переносом своих серверов в Россию (правда, в самом Гугле не комментируют, связано ли это с законом о персональных данных). Google является одним из ведущих провайдеров SaaS-сервисов для бизнеса в России. Его ассортимент включает почту, офис, инструменты совместной работы, мессенджер, видеоконференции, облачные платформы. А вот главный конкурент Гугла на этом рынке — Microsoft — пока не торопится переезжать в Россию (хотя обычно эта компания более сговорчивая, чем Гугл).

2015. Microsoft и Google повысили безопасность своих онлайн офисов

Microsoft встроила в свой онлайн офис Office 365 систему управления мобильными устройствами (MDM), которая доступна бесплатно всем коммерческим подписчикам сервиса. Эта система позволяет контролировать данные (email, документы), которые находятся на девайсах сотрудников (iPhone, Android, Windows Phone), централизованно устанавливать права доступа, политики безопасности и удаленно стирать данные (например, если сотрудник уволился). В свою очередь, Google добавил множество настроек для управления правами доступа в облачное хранилище Google Drive for Work. Особенно порадует пользователей возможность расшаривать файлы для внешних контрагентов без необходимости просить этих контрагентов зарегистрировать Гугл-аккаунт. Вот видео:

2015. Box стал самым защищенным облачным хранилищем в мире

Облачные хранилища типа Box, Dropbox, Google Drive, OneDrive являются вполне безопасными для хранения бизнес-данных. Однако, в некоторых компаниях требования к безопасности — очень высоки. И их не устраивает, что хотя данные и шифруются при хранении и передаче, сервис-провайдер может получить к ним доступ, зная ключи шифрования. Для таких компаний Box ввел новую услугу Box EKM, которая позволяет самостоятельно создавать и хранить ключи шифрования. А чтобы это не сказалось отрицательно на удобстве сервиса (чтобы админу не пришлось устанавливать мастер ключей на каждом компьютере и смартфоне) — Box интегрировал свое хранилище с сервисом Amazon CloudHSM, который как раз предоставляет услугу облачного хранения ключей. Отметим, что каждый файл, загружаемый в Box, шифруется индивидуальным ключем шифрования. Кроме того, компания получает полный лог доступа к каждому файлу.

2014. Google позволяет использовать USB-ключ для авторизации

Использование 2-факторной авторизации через SMS делает ваш Google-аккаунт практически полностью безопасным. Практически — потому, что существует небольшая вероятность, что вы попадетесь на фишинговое письмо, перейдете по ссылке на фейковый сайт и введете туда SMS код. Для тех (бизнес) пользователей, которые хотят еще больше обезопасить свою почту и другие сервисы Google, теперь предлагается использовать специальный USB-ключ, который можно купить например здесь. С таким ключом можно не получать смс-ку, а вставить его в компьютер и нажать кнопку. Впрочем, вариант с смс-кой все равно остается, потому что в смартфон или планшет вы ключ не вставите. Еще одно ограничение — использовать USB-ключ можно только для браузера Chrome. С другими браузерами он пока не работает.

2011. VMWare выпустила сервис единой аутентификации

Как известно, основные проблемы с SaaS-сервисами возникают не у пользователей, а у ИТ-администраторов, потому, что они теряют контроль над происходящим. Из-за этого, они всячески тормозят внедрение SaaS-сервисов на предприятии, мотивируя это в частности, повышенным риском кражи паролей и коммерческих данных при их передаче от браузера к сервису. Кроме того, их раздражает, что при использовании сразу нескольких SaaS сервисов приходится по каждому из них вести базу логинов или синхронизировать ее с Active Directory (если еще есть такая возможность). Для решения этих проблем возник новый класс сервисов и решений — SSO (Single Sign-on = сервисы единой аутентификации). Мы уже рассказывали об одном из них — OneLogin. Есть еще несколько, но все это полу-стартапы, которые не могли пока полностью успокоить совесть сисадминов. И вот появилось подобное решение от солидной компании — VMware Horizon App Manager. ***

2010. Google Apps готовы к землетрясениям

В последнее время планету конкретно трусит. Гаити, Чили, Турция, говорят следующее землетрясение произойдет на Украине. Что вы будете делать, если на ваш сервер (или дата центр) упадет крыша и все ваши бизнес-данные будут утеряны? Видимо, Google решил воспользоваться ситуацией и опубликовал в официальном блоге пост, который рассказывает о том, как Google Apps защищают бизнес-данные от катастроф. Для обеспечения безопасности пользовательские данные из Gmail, Google Docs, Google Sites, Google Calendar, Google Talk и Google Video в реальном времени синхронизируются между двумя географически-удаленными друг от друга дата-центрами. Если вдруг один из этих дата-центров будет разрушен, мгновенно начнется репликация данных на третий дата-центр и т.д. Такую технологию используют и крупные компании, но, например, real-time синхронизация 25Гб почтового ящика обходится им в 150-500$. Google же предоставляет эту услугу бесплатно. И это при том, что сервисом пользуются 2 млн компаний с 20 млн активных пользователей.

2007. Шифрование корпоративной почты в Gmail

Безопасность лишней не бывает, поэтому для тех, кто обеспокоен конфиденциальностью личной переписки в Gmail, существует отличное решение для шифрования почтовой корреспонденции. Чтобы воспользоваться им, необходим браузер Firefox версии 1.5 и выше с установленным расширением Greasemonkey и подключенным к нему скриптом gmailencrypt.user.js (он инсталлируется нажатием правой кнопки мыши по ссылке через меню View User Script Source).После установки всех перечисленных компонентов в службе Gmail.com, а, точнее, в окнах ввода нового сообщения и просмотра присланных писем появится новая панелька для кодирования и расшифровки электронных весточек:Public Key — это открытый ключ. Он не является секретным, доступен любому пользователю и необходим для создания зашифрованных сообщений в адрес владельца закрытого ключа. Private Key — это закрытый ключ. Его нужно беречь как зеницу ока, никому не показывать и использовать для раскодирования сообщений. Оба ключа можно сгенерировать при помощи онлайнового генератора, доступного на этой странице.Допустим, вы переписываетесь по важному вопросу со своим бизнес-партнером. Для этого вы предварительно согласовываете с ним криптосистему, то есть обмениваетесь открытыми ключами. Он, получив ваш ключ, вбивает его в поле Public Key и нажимает клавишу Encrypt для шифрования отправляемого вам сообщения.Получив кодированное письмо, вы жмете кнопку Reply (обязательно!), затем вбиваете в поле Private Key свой закрытый ключ и выбираете Decrypt для конвертирования сообщения в читабельный вид. Как видите, ничего сложного. Главное, при переписке не запутаться в открытых ключах, так как в противном случае получатель не сможет расшифровать данные.При кодировании почты средствами Gmail Encryption необходимо помнить о двух моментах. Во-первых, тема письма не шифруется. Это значит, что «светить» в ней что-то секретное крайне не рекомендуется. Во-вторых, кодирующий скрипт напрочь не переваривает кириллицу и коверкает её при расшифровке. Обойти эту коварную неприятность можно лишь предварительным конвертированием русскоязычных сообщений в латиницу каким-нибудь конвертером. Ничего не поделаешь — искусство шифрования требует жертв

1998. Спецификации SSL делают Web-приложения безопаснее

SSL (Secure Socket Layer) — это набор протоколов, работающий поверх транспортного протокола TCP и позволяющий защитить данные, передаваемые между клиентом и сервером по протоколам высокого уровня (таким, как http и ftp). «Защита» понимается как исключение возможности перехвата передаваемых данных, а также подмены или подделки этих данных. Обычное использование SSL — защищенная передача пароля для доступа к частным ресурсам WWW, шифрование финансовых или персональных данных, передаваемых посредством заполняемых html-форм.SSL включает два уровня протоколов. Нижний, называемый «слоем записей» (SSL Record Layer) служит для инкапсуляции сжатых, зашифрованных и/или аутентифицируемых данных протоколов, лежащих выше. Протокол начального приветствия (SSL Handshake Protocol) отрабатывается перед началом защищенной коммуникации и служит для совместной генерации временного секретного ключа. SSL «прозрачен» для протоколов высокого уровня, таких, как http и ftp: они используют его так же, как Socket Library при незащищенном соединении.

Разбираем ТОП угроз облачной безопасности по версии Cloud Security Alliance — «ИТ-ГРАД»

Сегодня поговорим об угрозах облачной безопасности, рассмотрев ТОП-12, с которыми сталкиваются те или иные организации, использующие облачные сервисы. Как известно, количество облачных миграций с каждым годом растет, а вопрос безопасности по-прежнему остается серьезной темой.

Первым шагом к минимизации рисков в облаке является своевременное определение ключевых угроз безопасности. На конференции RSA, прошедшей в марте этого года, CSA (Cloud Security Alliance) представила список 12 угроз облачной безопасности, с которыми сталкиваются организации. Рассмотрим их более подробно.

Напомним, что CSA — некоммерческая организация, лидер в области стандартов, рекомендаций и инициатив, направленных на повышение безопасности и защищенности использования облачных вычислений.

Угроза 1: утечка данных

Облако подвергается тем же угрозам, что и традиционные инфраструктуры. Из-за большого количества данных, которые сегодня часто переносятся в облака, площадки облачных хостинг-провайдеров становятся привлекательной целью для злоумышленников. При этом серьезность потенциальных угроз напрямую зависит от важности и значимости хранимых данных. Раскрытие персональной пользовательской информации, как правило, получает меньшую огласку, нежели раскрытие медицинских заключений, коммерческих тайн, объектов интеллектуальной собственности, что наносит значительный ущерб репутации отдельно взятой компании. При утечке данных организацию ожидают штрафы, иски или уголовные обвинения, а также косвенные составляющие в виде ущерба для бренда и убытков для бизнеса, которые приводят к необратимым последствиям и затяжным процедурам восстановления имиджа компании. Поэтому облачные поставщики стараются обеспечивать должный контроль и защиту данных в облачном окружении. Чтобы минимизировать риски и угрозы утечки данных, CSA рекомендует использовать многофакторную аутентификацию и шифрование.

Угроза 2: компрометация учетных записей и обход аутентификации

Утечка данных зачастую является результатом небрежного отношения к механизмам организации проверки подлинности, когда используются слабые пароли, а управление ключами шифрования и сертификатами происходит ненадлежащим образом. Кроме того, организации сталкиваются с проблемами управления правами и разрешениями, когда конечным пользователям назначаются гораздо большие полномочия, чем в действительности необходимо. Проблема встречается и тогда, когда пользователь переводится на другую позицию или увольняется. Мало кто торопится актуализировать полномочия согласно новым ролям пользователя. В результате учетная запись содержит гораздо большие возможности, чем требуется. А это узкое место в вопросе безопасности.

Немного фактов: крупнейшей утечкой данных в первой половине 2015 года стала атака с целью хищения идентификационных данных клиентов Anthem Insurance. Атаку оценили в 10 баллов по Индексу критичности, где было скомпрометировано более 80 миллионов учетных записей, что составило одну треть от общего числа данных, похищенных за первое полугодие 2015 года.

CSA рекомендует использовать механизмы многофакторной аутентификации, включая одноразовые пароли, токены, смарт-карты, USB-ключи. Это позволит защитить облачные сервисы, поскольку применение озвученных методов усложняет процесс компрометации паролей.

Угроза 3: взлом интерфейсов и API

Сегодня облачные сервисы и приложения немыслимы без удобного пользовательского интерфейса. От того, насколько хорошо проработаны механизмы контроля доступа, шифрования в API, зависит безопасность и доступность облачных сервисов. При взаимодействии с третьей стороной, использующей собственные интерфейсы API, риски значительно возрастают. Почему? Потому что требуется предоставлять дополнительную информацию, вплоть до логина и пароля пользователя. Слабые с точки зрения безопасности интерфейсы становятся узким местом в вопросах доступности, конфиденциальности, целостности и безопасности.

CSA рекомендует организовать адекватный контроль доступа, использовать инструменты защиты и раннего обнаружения угроз. Умение моделировать угрозы и находить решения по их отражению — достойная профилактика от взломов. Кроме того, CSA рекомендует выполнять проверку безопасности кода и запускать тесты на проникновение.

Угроза 4: уязвимость используемых систем

Уязвимость используемых систем — проблема, встречающаяся в мультиарендных облачных средах. К счастью, она минимизируется путем правильно подобранных методов управления ИТ, отмечают в CSA. Лучшие практики включают в себя регулярное сканирование на выявление уязвимостей, применение последних патчей и быструю реакцию на сообщения об угрозах безопасности. Согласно отчетам CSA, расходы, затраченные на снижение уязвимостей систем, ниже по сравнению с другими расходами на ИТ. Распространена ошибка, когда при использовании облачных решений в модели IaaS компании уделяют недостаточно внимания безопасности своих приложений, которые размещены в защищенной инфраструктуре облачного провайдера. И уязвимость самих приложений становится узким местом в безопасности корпоративной инфраструктуры.

Угроза 5: кража учетных записей

Фишинг, мошенничество, эксплойты встречаются и в облачном окружении. Сюда добавляются угрозы в виде попыток манипулировать транзакциями и изменять данные. Облачные площадки рассматриваются злоумышленниками как поле для совершения атак. И даже соблюдение стратегии «защиты в глубину» может оказаться недостаточным. Необходимо запретить «шаринг» учетных записей пользователей и служб между собой, а также обратить внимание на механизмы многофакторной аутентификации. Сервисные аккаунты и учетные записи пользователей необходимо контролировать, детально отслеживая выполняемые транзакции. Главное — обеспечить защиту учетных записей от кражи, рекомендует CSA.

Угроза 6: инсайдеры-злоумышленники

Инсайдерская угроза может исходить от нынешних или бывших сотрудников, системных администраторов, подрядчиков или партнеров по бизнесу. Инсайдеры-злоумышленники преследуют разные цели, начиная от кражи данных до желания просто отомстить. В случае с облаком цель может заключаться в полном или частичном разрушении инфраструктуры, получении доступа к данным и прочем. Системы, напрямую зависящие от средств безопасности облачного поставщика, — большой риск. CSA рекомендует позаботиться о механизмах шифрования и взять под собственный контроль управление ключами шифрования. Не стоит забывать про логирование, мониторинг и аудит событий по отдельно взятым учетным записям.

Угроза 7: целевые кибератаки

Развитая устойчивая угроза, или целевая кибератака, — в наше время не редкость. Обладая достаточными знаниями и набором соответствующих инструментов, можно добиться результата. Злоумышленника, задавшегося целью установить и закрепить собственное присутствие в целевой инфраструктуре, не так легко обнаружить. Для минимизации рисков и профилактики подобных угроз поставщики облачных услуг используют продвинутые средства безопасности. Но помимо современных решений, требуется понимание сущности и природы такого вида атак. CSA рекомендует проводить специализированное обучение сотрудников по распознаванию техник злоумышленника, использовать расширенные инструменты безопасности, уметь правильно управлять процессами, знать о плановых ответных действиях на инциденты, применять профилактические методы, повышающие уровень безопасности инфраструктуры.

Угроза 8: перманентная потеря данных

Поскольку облака стали достаточно зрелыми, случаи с потерей данных без возможности восстановления по причине поставщика услуг крайне редки. При этом злоумышленники, зная о последствиях перманентного удаления данных, ставят целью совершение подобных деструктивных действий. Облачные хостинг-провайдеры для соблюдения мер безопасности рекомендуют отделять пользовательские данные от данных приложений, сохраняя их в различных локациях. Не стоит забывать и про эффективные методы резервного копирования. Ежедневный бэкап и хранение резервных копий на внешних альтернативных защищенных площадках особенно важны для облачных сред. Кроме того, если клиент шифрует данные до размещения в облаке, стоит заранее позаботиться о безопасности хранения ключей шифрования. Как только они попадают в руки злоумышленнику, с ними становятся доступны и сами данные, потеря которых может быть причиной серьезных последствий.

Угроза 9: недостаточная осведомленность

Организации, которые переходят в облако без понимания облачных возможностей, сталкиваются с рисками. Если, к примеру, команда разработчиков со стороны клиента недостаточно знакома с особенностями облачных технологий и принципами развертывания облачных приложений, возникают операционные и архитектурные проблемы. CSA напоминает о необходимости понимать функционирование облачных сервисов, предоставляемых поставщиком услуг. Это поможет ответить на вопрос, какие риски берет на себя компания, заключая договор с хостинг-провайдером.

Угроза 10: злоупотребление облачными сервисами

Облака могут использоваться легитимными и нелегитимными организациями. Цель последних — использовать облачные ресурсы для совершения злонамеренных действий: запуска DDoS-атак, отправки спама, распространения вредоносного контента и т. д. Поставщикам услуг крайне важно уметь распознавать таких участников, для чего рекомендуется детально изучать трафик и использовать инструменты мониторинга облачных сред.

Угроза 11: DDoS-атаки

Несмотря на то что DoS-атаки имеют давнюю историю, развитие облачных технологий сделало их более распространенными. В результате DoS-атак может сильно замедлиться или вовсе прекратиться работа значимых для бизнеса компании сервисов. Известно, что DoS-атаки расходуют большое количество вычислительных мощностей, за использование которых будет платить клиент. Несмотря на то что принципы DoS-атак, на первый взгляд, просты, необходимо понимать их особенности на прикладном уровне: они нацелены на уязвимости веб-серверов и баз данных. Облачные поставщики, безусловно, лучше справляются с DoS-атаками, чем отдельно взятые клиенты. Главное — иметь план смягчения атаки до того, как она произойдет.

Угроза 12: совместные технологии, общие риски

Уязвимости в используемых технологиях — достаточная угроза для облака. Поставщики облачных услуг предоставляют виртуальную инфраструктуру, облачные приложения, но если на одном из уровней возникает уязвимость, она влияет на все окружение. CSA рекомендует использовать стратегию «безопасности в глубину», внедрять механизмы многофакторной аутентификации, системы обнаружения вторжений, придерживаться концепции сегментирования сети и принципа предоставления наименьших привилегий.

* Текст подготовлен с использованием материала NetworkWorld

Безопасность облака | Глоссарий VMware

Важность обеспечения безопасности облака

Ресурсы, используемые для облачных вычислений, распределены и сильно взаимозависимы, поэтому традиционного подхода к безопасности (ориентированного на традиционные брандмауэры и безопасность периметра сети) уже недостаточно. Облачные вычисления позволяют динамически использовать общие ресурсы благодаря автоматической инициализации ресурсов хранения, сетевых и вычислительных ресурсов в зависимости от потребностей. Кроме того, все больше облачных сред подключаются к общедоступным сетям, что затрудняет обеспечение безопасности периметра. Несмотря на то что подход, ориентированный на меньшее число ограничений, имеет много преимуществ, он также повышает риски для безопасности из-за увеличения потенциальной площади атаки. Эффективные планы обеспечения безопасности облака помогут компаниям получить преимущества облачных вычислений и свести риски к минимуму.

 

Проблемы обеспечения безопасности облака

Помимо вышеописанных сложностей, облачные вычисления создают ряд других уникальных проблем, связанных с безопасностью. В условиях постоянного развертывания виртуальных машин и динамического назначения адресов и портов становится труднее идентифицировать пользователей. Кроме того, множественная аренда в публичных облачных средах означает, что данные организации хранятся вместе с данными других организаций. В связи с этим поставщикам публичных облачных услуг важно обеспечивать изоляцию арендаторов.

 

Преимущества безопасности облака

Безопасность облака предоставляет множество преимуществ, в том числе следующие:

• Защита от атак. Основной целью обеспечения безопасности облака является защита компаний от злоумышленников и распределенных атак типа «отказ в обслуживании» (DDoS).
• Безопасность данных. Надежная система безопасности облака также обеспечивает защиту конфиденциальных данных с помощью таких функций, как шифрование, во избежание попадания информации в чужие руки. 
• Повышение доступности. Множество услуг обеспечения безопасности облака не только помогают решить основные проблемы безопасности, но и предлагают мониторинг и поддержку в режиме реального времени, что повышает доступность.
• Повышение надежности. Продуманный подход к безопасности облака подразумевает встроенные возможности резервирования, обеспечивающие более надежную работу.
• Соответствие законодательству. Обеспечить соответствие сложной облачной архитектуры отраслевым нормативным требованиям может быть непросто. Поставщики облачных решений способствуют поддержанию этого соответствия, обеспечивая безопасность и поддержку.

 

Принципы обеспечения безопасности облака

Безопасность облака включает в себя широкий спектр средств и методик, поэтому не существует единого принципа обеспечения защиты облачных сред. Важнейшая задача системы обеспечения безопасности облака заключается в том, чтобы предоставлять доступ к хранящимся в облаке данным только авторизованным пользователям. Для достижения этой цели компании используют множество средств и стратегий, включая следующие:

• Микросегментация. Этот метод обеспечения безопасности заключается в разделении ЦОД на сегменты безопасности вплоть до уровня отдельных рабочих нагрузок. Это позволяет ИТ-отделу определять гибкие политики обеспечения безопасности и сводить к минимуму ущерб от атак злоумышленников.
• Брандмауэры нового поколения. По сравнению с традиционными моделями брандмауэры нового поколения более интеллектуальны и эффективны. В них используется фильтрация с учетом приложений, чтобы не допустить появления угроз повышенной сложности.
• Шифрование данных. Этот процесс обеспечивает кодирование данных таким образом, что для их расшифровки необходим ключ. Это помогает избежать попадания данных в распоряжение сторонних лиц.
• Аналитика, мониторинг и предотвращение угроз. Эти возможности обеспечивают сканирование всего трафика, что позволяет определять и блокировать вредоносное ПО и другие угрозы.

 

Лучшие методики обеспечения безопасности облака

Кроме вышеописанных технологий, существует множество способов обеспечения безопасности облака, которыми могут воспользоваться организации. Компаниям необходимо:

• знать, за какие аспекты безопасности облака они несут ответственность, а не полагаться во всем на поставщика облачных услуг;
• обеспечить визуализацию облачной архитектуры в масштабе всей организации; 
• иметь четкое понимание облачной архитектуры, чтобы избежать появления уязвимостей в системе безопасности из-за неправильной конфигурации;
• отключать неиспользуемые порты и удалять ненужные процессы и экземпляры ресурсов, поскольку они могут приводить к возникновению уязвимостей.

 

Ответственность за безопасность облака несут как поставщики облачных услуг (предлагающие заказчикам средства и услуги обеспечения безопасности), так и компания, которой принадлежат данные. Кроме того, существует множество сторонних решений, обеспечивающих дополнительную безопасность и мониторинг.

 

Почему облако безопаснее, чем традиционные системы?

Существует распространенное заблуждение, что облака не так безопасны, как традиционные локальные системы. Это связано с тем, что компании, хранящие данные в локальной среде, контролируют их безопасность. Однако у большинства организаций нет тех ресурсов и экспертных знаний, которыми обладают крупные поставщики публичного облака и которые повышают безопасность облачной среды. Управление облаком осуществляют профессионалы, что гарантирует следующие преимущества:

• физическая защита ЦОД, например ограждения, службы охраны и камеры видеонаблюдения;
• передовые технологии безопасности облака, такие как микросегментация, а также обнаружение угроз и реагирование на них на основе ИИ;
• сочетание технических экспертных знаний всей команды специалистов по обеспечению безопасности данных.

 

За последние годы получили огласку ситуации, связанные с утечкой данных из облачных сред, но в подавляющем большинстве случаев эти нарушения безопасности были вызваны ошибками, связанными с человеческим фактором. В связи с этим организациям важно использовать упреждающий подход к обеспечению безопасности данных, а не полагаться во всем на поставщиков облачных услуг. Облачная инфраструктура сложна и динамична, поэтому компаниям необходим эффективный подход к обеспечению безопасности облака.

 

Облачные сервисы: безопасность и надежность | Журнал сетевых решений/LAN

28 ноября «Журнал сетевых решений/LAN» провел в московской гостинице «Radisson-Славянская» круглый стол «Сервисы из облака: коммуникации, безопасность, непрерывность бизнеса». Цель таких дискуссий — выявление актуальных задач и поиск путей их решения в прямом диалоге между ИТ-специалистами предприятий и организаций различных отраслей и экспертами ведущих ИТ-компаний.

На этот раз во встрече приняли участие Юлия Кононова, директор по развитию бизнеса компании «Даталайн», Игорь Бакланов, генеральный директор PR Group, Алексей Бессарабский, руководитель отдела маркетинга «Манго Телеком» и заочно к ним присоединившийся Михаил Кадер, заслуженный системный инженер Cisco. Они рассказали о деятельности своих компаний на молодом российском облачном рынке, о причинах обращения заказчиков к облачной модели или отказа от нее, обсудили вопросы обеспечения безопасности облачных сервисов и непрерывности бизнеса клиентов.

Большинство предприятий уже знают, что стоит за понятием «облака», какие ожидания они могут оправдать и на что рассчитывать не следует. Целый ряд крупных международных компаний широко используют собственные частные облака, а многие организации малого и среднего бизнеса всерьез рассматривают возможность отказа от традиционной модели ИТ-инфраструктуры в пользу публичных облачных сервисов. По данным зарубежных опросов, более 60% респондентов разрабатывают стратегию внедрения облаков, а треть уже активно эксплуатирует их. По прогнозам Gartner, к 2015 году свыше половины госуслуг в мире будет поставляться из облаков.

Российские компании уже составили общее представление об особенностях облаков и теперь стремятся понять, как их можно использовать и стоит ли переходить к новой модели. При оптимистичном сценарии, уже через несколько лет многие отечественные организации будут приобретать ИТ как сервис, однако пока на долю облачных сервисов приходится всего около 0,5% российского рынка ИТ. Тем не менее выбор предложений уже есть, и заказчики переходят от стадии обсуждения возможностей облачной модели к тестированию и первым пилотным внедрениям, а по некоторым видам облачных сервисов клиентская база быстро увеличивается. Стимулом к этому переходу служит поиск новых рынков, потребность в более эффективных подходах к развитию ИТ и необходимость сокращения затрат.

По некоторым оценкам, около 60% российских компаний готовы к миграции в частное облако, причем большинство из них могут перевести в облака более половины бизнес-процессов. Вместе с тем реальный уровень потребления облачных услуг до сих пор находится на достаточно низком уровне (см. Рисунок 1).

 

Рисунок 1. Объем рынка публичных облачных сервисов (сводный прогноз на основе исследований специалистов IBS и аналитических агентств).

 

БЕЗОПАСНОСТЬ — ОСНОВНАЯ ПРОБЛЕМА

 

Юлия Кононова, директор по развитию бизнеса компании «Даталайн»: «Очень часто те приятные особенности, которые привносит облачная модель, оказываются недопустимыми для клиента из-за недостаточной прозрачности: ему нужно четко понимать, как осуществляется взаимодействие компонентов на всех уровнях».

По словам Юлии Кононовой, начав свою деятельность в 2007 году, сегодня компания «Даталайн» смогла выйти на первое место среди коммерческих московских ЦОД по количеству построенных стойко-мест и уже размещенных стоек клиентов. Суммарная емкость введенных в промышленную эксплуатацию технологических залов в настоящий момент составляет более 1300 стойко-мест в двух московских ЦОД, соответствующих уровню Tier III. Основными клиентами являются компании финансового сектора, что накладывает очень высокие обязательства и предъявляет серьезные требования к безопасности на всех уровнях. К предоставлению инфраструктурных облачных сервисов компания приступила более двух лет назад.

Как считает Михаил Кадер, вопросы информационной безопасности при использовании облачных вычислений не очень критичны для малых и средних предприятий, обрабатывающих собственную информацию. Совершенно иначе дело обстоит с большими компаниями и/или компаниями, которым необходимо строго соблюдать нормативные документы в области информационной безопасности, например госучреждениями, кредитно-финансовыми организациями, медицинскими учреждениями, операторами персональных данных и т. п. В настоящий момент это действительно один из основных факторов, мешающих предложить облачные сервисы организациям, обрабатывающим информацию ограниченного доступа.

«Главным и наиболее острым остается вопрос информационной безопасности, — рассказывает Юлия Кононова. — Этот вопрос имеет две стороны: реальное обеспечение безопасности данных наших клиентов с применением лучших технологий и практик, а также подтверждение соответствия наших процессов обеспечения безопасности требованиям стандартов и законодательства. От нас это требует участия в регулярных аудитах, проверках и пр. с целью подтверждения соответствия провайдера облачных сервисов требованиям стандартов и законодательства, а от клиента — обоснования возможности и необходимости выноса важных информационных систем на облачную платформу, находящуюся на сторонней площадке, для чего приходится очень много и кропотливо работать службам собственной безопасности клиентов (вместе с ИТ-директорами) и нашим специалистам. Однако сказанное касается в основном крупных компаний. Среднему бизнесу вполне достаточно демонстрации наших технических решений и действующих сертификатов».

 

Алексей Бессарабский, руководитель отдела маркетинга «Манго Телеком»: «Облачные провайдеры могут гораздо лучше контролировать процесс обеспечения безопасности, у них для этого больше возможностей, а у недобросовестных сотрудников клиентов — меньше шансов для злоупотреблений».

«Согласно опросам, страх несанкционированного доступа и потери информации остается во всем мире одним из основных препятствий для перехода к публичным облачным сервисам, — рассказывает Алексей Бессарабский. — Что касается оценки рисков, то, по мнению 20% опрошенных, данные надежнее держать в облаке, 40% полагают, что это зависит от вида данных, и только 6% уверены в надежности и безопасности своей ИТ-системы».

С точки зрения провайдеров облачных сервисов, обеспечение информационной безопасности в облаке — сложная и комплексная проблема. У «Даталайн» есть собственный отдел ИБ, участвующий в обеспечении высокого уровня надежности ЦОД. В компании налажен процесс совершенствования ИБ, прохождения независимых аудитов, связанных с ИБ, а ее специалисты принимают участие в процессах обеспечения соответствия систем клиентов. «Это большая и кропотливая работа, которая не дает расслабиться ни на минуту. Практически ежемесячно необходимо проходить очередной аудит в той или иной области — взаимодействие приходится налаживать со множеством контролирующих организаций. Нужно не только самим соответствовать требованиям международных и отечественных стандартов, а также законодательства РФ, но и консультировать клиентов, чтобы избежать потенциальных ошибок с их стороны», — поясняет Юлия Кононова. Еще один важный момент: зарубежные вендоры ИБ, как правило, не спешат с прохождением сертификации ФСТЭК и ФСБ, вследствие чего их продукты имеют определенные ограничения к применению на российском рынке.

От требований клиента к ИБ зависит выбор места размещения информационных систем — на своей площадке, в облаке или в ЦОД провайдера. Данные требования очень разнообразны и могут предусматривать собственные метрики и системы оценки. Все это нужно увязывать и каким-то образом учитывать. С подобными требованиями сталкиваются все облачные провайдеры.

Кроме того, ИБ — очень консервативная область, изменения в ней происходят медленнее, чем в ИТ. Появляющиеся на рынке новые технологии и продукты оцениваются с точки зрения рисков специалистами по безопасности, но часто даже явные преимущества в экономической эффективности не могут перевесить предвзятое отношение и неготовность служб ИБ следовать технологическим веяниям.

 

Михаил Кадер, заслуженный системный инженер Cisco: «Стандартные специализированные средства обеспечения безопасности (межсетевые экраны, системы предотвращения вторжений и т. п.) существенно снижают гибкость и эффективность облаков, а облачные продукты безопасности не обладают пока нужным уровнем доверия пользователей, не прошли сертификацию в соответствующих ведомствах. Так что сейчас одна из основных задач — найти разумный баланс и активно участвовать в развитии продуктов, решений, новых подходов к обеспечению защиты данных в облаке».

Медленнее же всего меняется менталитет, в особенности, как отмечает Михаил Кадер, высок уровень «параноидальности» в отношении вопросов ИБ у поколения, воспитанного в закрытой стране. Но новое поколение уже гораздо более свободное и открытое. Так что снижение уровня «параноидальности» — вопрос времени, если не произойдет каких-либо существенных изменений. При этом, по его мнению, позиция компаний в вопросах ИБ будет определяться требованиями по соответствию нормативной базе в области защиты информации, роль которых будет только возрастать. Чтобы преодолеть этот фактор, компаниям, предлагающим облачные сервисы, предстоит решить огромный спектр технических, юридических и организационных вопросов, включая сертификацию продуктов и сервисов, аттестацию объектов и т. п. При этом надо отметить, что нормативная база в области защиты информации тоже будет изменяться для охвата новых моделей и технологий оказания облачных услуг.

По словам Юлии Кононовой, самые серьезные требования к безопасности диктует именно российское законодательство. «Очень часто те приятные особенности, которые привносит облачная модель, например перенос регулирования качества сервиса на уровень SLA, оказываются недопустимыми для клиента из-за их недостаточной прозрачности: ему нужно четко понимать, как осуществляется взаимодействие компонентов системы на всех уровнях».

В «Даталайн» нашли выход и пересмотрели SLA. В отличие от типового SLA, в договоре очень подробно описываются взаимодействие провайдера с клиентом, зоны ответственности, доступные ему интерфейсы управления и контроля, указывается, какие системы и как будут взаимодействовать. К договору по SLA прилагается регламент взаимодействия. Четко прописываются штрафные санкции за нарушение SLA. Соглашение об уровне сервиса разрабатывается для конкретного заказчика, хотя может быть адаптировано и к требованиям других организаций.

В договоре фиксируется, каким образом предоставляется сервис и как контролируется. При необходимости «облачный сервис» привязывается к конкретной инфраструктуре, вплоть до номера стойки, где размещается оборудование клиента, указывается, какова его конфигурация, какой набор программного обеспечения используется, кто из специалистов имеет доступ к облачной платформе. Такая детализация снимает много вопросов со стороны отдела ИБ клиента.

«В договор как юридический документ лучше не включать никакой размытой облачной терминологии — это затруднит прохождение проверки на соответствие требованиям регуляторов, — подчеркивает Юлия Кононова. — Гораздо понятнее, если в нем говорится об аренде в конкретном надежном ЦОД и размещении оборудования, администрировании приложений. Все имеющиеся риски прорабатываются со службой безопасности клиента. Разработка такого договора для одной из крупных компаний заняла два месяца, но мы надеемся, что теперь это станет стандартной практикой. Методики уже опробованы. Остается надеяться, что и российское законодательство начнет поспевать за лучшими практиками ИТ».

Для крупных клиентов и систем большого масштаба оптимальным вариантом становится развертывание частного облака у провайдера и наличие выделенного канала до собственного офиса. При меньших объемах выгоднее выбирать частично выделенное решение. Однако даже при локальном размещении серверов и данных клиенту точно так же приходится решать вопросы безопасности и соответствия нормативным требованиям.

«В облаках лучше обеспечивается сохранность данных, уменьшается вероятность кражи информации, — считает Алексей Бессарабский. — Ведь во многих случаях самая большая угроза исходит от инсайдеров. Облачные провайдеры могут гораздо лучше контролировать процесс обеспечения безопасности и защиты данных, у них для этого больше возможностей, а у недобросовестных сотрудников клиентов — меньше шансов для злоупотреблений».

«Основной вопрос — кто заказчики и какую информацию они планируют выносить в облако. Исходя из этого, можно понять реальные потребности заказчика в защите информации и возможности ее обеспечить, — подчеркивает Михаил Кадер. — Говоря же о взаимодействии сторон, важно не забыть еще одну — регулирующие и контролирующие организации, Роскомнадзор. В остальном же основные методы обеспечения безопасности в облаке хорошо известны текущим оперторам коммерческих ЦОД и системным интеграторам, которые их строили и принимали участие в запуске в эксплуатацию. Основная разница между коммерческим ЦОД и облаком — в гибкости предоставления, эффективности и доступности услуги. И тут приходится решать дилемму. Стандартные специализированные средства обеспечения безопасности (межсетевые экраны, системы предотвращения вторжений и т. п.) существенно снижают эту гибкость и эффективность. С другой стороны, облачные продукты безопасности не обладают пока нужным уровнем доверия пользователей, не прошли сертификацию в соответствующих ведомствах. Так что сейчас одна из основных задач — найти разумный баланс и активно участвовать в развитии продуктов, решений, новых подходов к обеспечению защиты данных в облаке».

НЕПРЕРЫВНОСТЬ БИЗНЕСА

Согласно зарубежным исследованиям, повышение уровня безопасности и непрерывности бизнеса служит для SMB одним из стимулов перехода в облака. Для среднего бизнеса этот показатель имеет меньшее значение — ввиду большого количества уже установленного на собственных площадках оборудования и ПО.

Конечно, вынос сервисов в облака влечет за собой целый ряд рисков, связанных с безопасностью и доступностью данных, а также с местом их размещения. Этой проблемой занимается целый ряд организаций и ассоциаций. Когда же следует выбирать облачную модель? Применительно к непрерывности бизнеса и безопасности приходится учитывать целый ряд факторов. Например, публичные облака или частные облака на площадке провайдера имеют такие преимущества, как отказоустойчивая инфраструктура и наличие инженерной службы, которых не могут себе позволить предприятия SMB, в то же время в облаках сказывается эффект масштаба.

Непрерывность лучше обеспечивается в облаках, что подтверждает зарубежная статистика: компании с наиболее устойчивым бизнесом вдвое чаще пользуются услугами хостинга. После стихийных бедствий в большей степени «выживают» именно облачные сервисы, помогающие работе спасательных служб. В результате доверие к облакам постепенно растет, а отношение к ним меняется.

«Облачные решения катастрофоустойчивы и способны пережить такие неполадки, как веерное отключение электричества, пожары и т. д. В нашей компании достаточно переключиться на резервный профиль, чтобы звонки клиентов стали обрабатываться по другим алгоритмам и переключаться на мобильные аппараты сотрудников, домашние телефоны и т. д. В результате компанияклиент может продолжать свою работу даже при отсутствии электропитания, — рассказывает Алексей Бессарабский. — К сожалению, предприятия SMB не всегда располагают качественным и надежным интернет-каналом, а его резервирование ведет к дополнительным расходам».

Самое главное — вопрос доверия, а также управление рисками. Облачный провайдер способен обеспечить большую надежность и сохранность данных, чем многие предприятия, но это некий стандартизованный сервис. Кому-то требуется более высокая надежность, пусть даже затраты окажутся выше. Если предприятие хочет само управлять своими рисками, то значительную часть данных оно размещает в своих хранилищах. Если же это не принципиально, то услуги облачного провайдера — хороший выход. Однако краеугольным камнем остается доверие к провайдеру. Отрасль молодая, и подчас непросто правильно выбрать поставщика услуг среди многих организаций, еще не заработавших себе устойчивую репутацию. Пока же следует обращать внимание на то, как давно компания на рынке и сколько она вкладывает в его развитие, считает Алексей Бессарабский.

ОСОБЕННОСТИ РОССИЙСКИХ ОБЛАКОВ

 

Игорь Бакланов, генеральный директор PR Group:«Облако однозначно способствует увеличению числа участников предоставления услуги, что приводит к дополнительным конфликтам. Без внедрения систем конфликт-менеджмента облака неработоспособны».

Некоторые заказчики предпочитают зарубежные площадки. Именно к такой категории относится компания PR Group. И на то есть причины. «Мы выбрали зарубежного облачного провайдера, руководствуясь надежностью сервиса, предсказуемостью контрагентов, внятностью SLA и законодательства, меньшими рисками, — поясняет Игорь Бакланов. — При выборе европейского ЦОД обращалось внимание на гибкость политики, прозрачность, удобство, при этом тестирование сервиса осуществлялось собственными средствами».

Компания PR Group, занимающаяся разработкой ПО, создала уже около 15 тестовых контуров различного программного обеспечения, для чего активно использует облачные сервисы зарубежных ЦОД. «PR Group и сама участвовала в разработке нескольких облаков, в том числе пилотной зоны для компании «Мегафон» (хотя и не выиграла тендер), поэтому я имею представление об устройстве облаков, знаю, по каким правилам они работают, — говорит Игорь Бакланов. — Кроме того, вот уже 12 лет наша компания тестирует системы в области ИБ. У нас одна из самых больших в России лабораторий для контроля за атаками DDoS, где используются генераторы клонов «червей» и других вредоносных программ. Я с полным основанием могу утверждать, что ни один из российских ЦОД не тестировался на устойчивость систем безопасности и способность противостоять атакам DDoS. Такое оборудование ЦОД не приобретали и сейчас не используют. Единственными его потребителями являются силовые органы и разработчики решений ИБ». Это ставит под сомнение надежность российских облаков.

По словам Юлии Кононовой, «Даталайн» для защиты от DDoS применяет партнерские решения, что позволяет получать уже очищенный трафик и соблюсти баланс стоимости и рисков. В Европе 50% лабораторного тестирования информационных систем связано с ИБ. В России данный сегмент почти полностью отсутствует — исключение составляют разве что «Лаборатория Касперского» и Dr. Web. За рубежом же этим занимаются практически все, подчеркивает Игорь Бакланов. Например, российский рынок тестового оборудования на порядок меньше рынка Румынии. Он считает, что, хотя облака действительно являются вектором развития информатизации, в России культорологический феномен облаков связан с подражанием Западу. Первый шаг к облакам — информатизация различных сфер деятельности, второй — сервисноориентированная архитектура (SOA), что влечет за собой формирование системы сервисов и услуг (Service Delivery Platform, SDP). Затем начинается процесс декомпозиции — услуга реализуется в одном месте, а клиент находится в другом. Это третий этап, когда уже можно говорить об облаках.

«В нашей стране в большинстве сфер деятельности информатизация не является ни доминирующей в управлении, ни жизненно важной для деятельности компаний. Если SOA в России принята (в основном в госкорпорациях), хотя и неявно, то SDP до сих пор нет, поэтому мы решили, что облаками заниматься не будем. Продавать их здесь невозможно, — утверждает Игорь Бакланов. — Я утверждаю это на основании нашего опыта. Облака выгодны, когда информатизация является для компании «жизнеобразующим» фактором».

Для компаний, деятельность которых зависит от облачных сервисов, важны не только SLA и размер штрафных санкций, но и определенная степень доверия к провайдеру и предоставляемые им гарантии, что тесно связано с вопросами безопасности.

Еще одна проблема — неправильная расстановка приоритетов. «За рубежом сначала создается работающая система, а потом обеспечивается необходимый уровень безопасности. В России же проблемы ИБ оторваны от вопросов жизнедеятельности, — считает Игорь Бакланов. — И приоритеты установлены следующим образом: сначала обеспечим безопасность, а потом будем думать, как это будет развиваться. Получается, что система безопасности, будучи сформирована еще до того, как ИТ-система создана и начала функционировать, остается неизменной. Однако при отрыве безопасности от реальных процессов ничего работоспособного, как правило, не получается. Это общая проблема».

Наконец, облако однозначно способствует увеличению числа участников процесса предоставления услуги, что приводит к дополнительным конфликтам. Поэтому появление облаков стимулирует внедрение систем конфликтменеджмента. Пример — проект московского правительства, где было показано, что облака (система облачного документооборота) без внедрения систем конфликт-менеджмента вообще неработоспособны. В сервисе было задействовано 11 групп участников. В таких случаях необходимо разделение ответственности в точках их взаимодействия, иначе почти любая проблема оказывается нерешаемой. «При миграции ИТ-системы в облака количество точек конфликта может увеличиться на порядок, что существенно осложняет контроль качества, — поясняет Игорь Бакланов. — Наша компания разработала систему мониторинга SLA — первую систему европейского уровня, основанную на принципах конфликтменеджмента. Эта экспертиза тоже тесно связана с облаками».

ЭКОНОМИКА ОБЛАКОВ

Что касается экономической стороны, по данным «Даталайн», вывод серверной инфраструктуры в облако провайдера обойдется клиенту на 15–70% дешевле размещения серверов на собственной площадке (в зависимости от исходной степени стандартизации и числа виртуальных серверов).

«Сейчас уже не нужно никого убеждать в финансовой эффективности облаков. Оценки показывают, что облачная модель дает реальную финансовую выгоду без потери качества и каких-то серьезных рисков для бизнеса. И предприятия очень часто принимают решение в пользу экономии бюджета, — рассказывает Юлия Кононова. — Облако всегда может предложить более широкий функционал. У нас хорошо реализован контроль качества — заказчики получают соответствующие интерфейсы, инструменты и отчеты».

«Облака выгодны тогда, когда они предоставляют возможность улучшить или расширить услуги. Клиент будет платить только за то, что приносит дополнительные деньги или снимает его «головную боль». Однако переход в облака приводит к увеличению числа потенциальных конфликтов управления и росту потребности в системах контроля и мониторинга. Да и не всем клиентам подходят облачные сервисы. Один из примеров — облачная система бухучета. Для некоторых предприятий, таких как ИЧП, она очень удобна и серьезно упрощает процесс, но для других неприменима. Подчас реализуемый облаком набор сервисов оказывается неинтересным для потенциальных пользователей, — уточняет Игорь Бакланов. — Кроме того, во всем мире облака ориентированы в основном на сегмент SMB. В России облака действительно набирают популярность у малого бизнеса. Среднего же бизнеса почти не осталось».

Использование облаков наиболее выгодно для быстро развивающихся компаний. «У каждой организации свои требования, и стандартизированное решение всегда в чем-то будет не удовлетворять клиента, но всегда есть возможность перенести в облако и уникальные особенности тоже», — дополняет Юлия Кононова.

«Мы пытались работать с облачными CRM и некоторыми системами управления проектами. Выяснилось, что трудозатраты на ведение проекта увеличиваются в три раза. И еще: любая серьезная организация едва ли выведет в облака свою систему бухучета. Это очень консервативная среда. Однако если есть сервис, который реально помогает в бизнесе — будь то локальный или облачный, он будет востребован. Проблема в том, что в России их еще нет, — утверждает Игорь Бакланов. — Построение облачной инфраструктуры обходится очень дорого. Тем временем за рубежом уже появились бесплатные облака. С их помощью владельцы ЦОД пытаются повысить привлекательность своих предложений. Услуги ЦОД без облаков могут оказаться просто невостребованными. Поэтому для привлечения клиентов им дается бесплатное облако, что стало для меня еще одним подтверждением того, что сейчас облаками заниматься не нужно. Для разработчиков это предполагает создание среды, которая, вполне возможно, не будет продана. Ряд ЦОД за рубежом успешно работают в сегменте B2C, предоставляя потребительские облачные сервисы. В этом случае облака действительно выгодны. Однако в отношении B2B и B2G есть сомнения».

«Облака прекрасно продаются в России, у нас это самое быстрорастущее направление, и мы продолжаем в него инвестировать, — возражает Юлия Кононова. — Хотя основным бизнесом остаются традиционные услуги ЦОД, весь последний год более высокими темпами растет число клиентов, желающих воспользоваться инфраструктурными облачными сервисами».

«Мы занимаемся облачными коммуникациями — телекоммуникационными приложениями, которые вынесены в облако (виртуальными АТС, ЦОВ и CRM, элементами систем унифицированных коммуникаций). Основные клиенты — компании малого и среднего бизнеса. Эти облачные сервисы B2B прекрасно продаются: рост продаж составляет 50–70% в год. Ситуация для развития облаков сейчас вполне благоприятна», — подтверждает Алексей Бессарабский («Манго Телеком» — один из клиентов «Даталайн»).

Основные преимущества для заказчиков — снижение капитальных расходов, стоимости владения, а также новые возможности для генерации дополнительной прибыли за счет интеграции облачных сервисов с бизнес-процессами обслуживания клиентов, продаж и служб поддержки. Применение облачных коммуникационных сервисов позволяет повысить эффективность таких бизнеспроцессов и увеличить продажи, что, наряду с гибкостью и удобством, является важным стимулом для перехода к облачным сервисам.

Крупный бизнес менее склонен к использованию публичных облаков, преимущества которых во многом обусловлены экономией за счет масштаба. В крупных организациях размер инфраструктуры и так велик, поэтому выигрыш будет не столь значительным. Кроме того, у таких компаний обычно большой парк собственного оборудования и им приходится решать задачи по интеграции систем. Тем не менее в ряде случаев они охотно идут на применение облачных решений. Например, облачная модель оказывается экономически привлекательной для распределенных организаций с большим числом филиалов или преобладанием коммуникаций с «внешним миром».

«Облачные коммуникационные сервисы хороши в том случае, если у компании внешних взаимодействий больше, чем внутренних, — поясняет Алексей Бессарабский. — Наиболее интересен гибридный подход, когда в облако выносится часть сервисов. Что касается стратегии переноса в облака критичных для бизнеса данных, то доверие к облакам возрастает. Однако миграции в облако мешают и чисто психологические причины — боязнь отдать кому-то в управление свою ИТ-инфраструктуру. Это все равно что доверить руль своего автомобиля другому водителю».

«Нужно всегда анализировать, какие части инфраструктуры следует вынести в облако. Обычно заказчики начинают с какой-то небольшой задачи, а потом переносят в облако другие свои системы, — поясняет Юлия Кононова. — Мы берем то, что нам готовы отдать клиенты. Постепенно они оптимизируют управление ИТ, а вся управленческая рутина передается провайдеру (остаются лишь вопросы контроля). Заказчик может сконцентрироваться на вопросах развития».

Между тем в некоторых крупных государственных организациях вопросы безопасности важнее экономических соображений. «Для них переход в облака будет, скорее всего, закрыт, — предполагает Игорь Бакланов. — Любая безопасность начинается с модели угроз и модели потенциальных атак. С виртуализацией и уходом в облако периметр размывается. Поэтому, если вопросы безопасности приоритетны, облака исключаются».

«Подобным организациям лучше строить частное облако на своей площадке, — соглашается Юлия Кононова. — В то же время облако можно организовать так, чтобы заказчик мог сам контролировать все процессы. Публичные облака дают более высокую экономическую эффективность, но опасны и более высокими рисками. Впрочем, всегда можно найти решение, которое снимет все проблемы. Нужно смотреть на то, что может предложить конкретный облачный провайдер».

Говорить о зрелости российского рынка облачных сервисов можно будет, только когда сформируются бизнесмодели и уйдут бесперспективные поставщики услуг. Согласно оценкам, это случится не раньше 2013–14 года. Пока же мы находимся в самом начале пути и вопросов больше, чем ответов. Конструктивному диалогу и сближению позиций участников рынка с целью его дальнейшего развития и способствуют обсуждения, проходящие в рамках круглых столов.

Сергей Орлов — ведущий редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу: [email protected].

Облачные сервисы: безопасность и надежность

Поделитесь материалом с коллегами и друзьями

Что такое облачная безопасность? Определение безопасности облачных вычислений

Для предприятий, которые переходят на облако, необходима надежная облачная безопасность. Угрозы безопасности постоянно развиваются и становятся все более изощренными, а облачные вычисления подвержены не меньшему риску, чем локальная среда. По этой причине важно работать с поставщиком облачных услуг, который предлагает лучшую в своем классе безопасность, адаптированную для вашей инфраструктуры.

Облачная безопасность предлагает множество преимуществ, в том числе:

Централизованная безопасность : Так же, как облачные вычисления централизуют приложения и данные, облачная безопасность централизует защиту.Облачные бизнес-сети состоят из множества устройств и конечных точек, которыми может быть сложно управлять при работе с теневыми ИТ или BYOD. Централизованное управление этими объектами улучшает анализ трафика и веб-фильтрацию, оптимизирует мониторинг сетевых событий и приводит к меньшему количеству обновлений программного обеспечения и политик. Планы аварийного восстановления также могут быть легко реализованы и реализованы, если они управляются из одного места.

Снижение затрат : Одним из преимуществ использования облачного хранилища и безопасности является то, что оно устраняет необходимость инвестировать в специализированное оборудование.Это не только снижает капитальные затраты, но также снижает административные накладные расходы. Там, где раньше ИТ-специалисты решали проблемы безопасности, облачная безопасность предоставляет упреждающие функции безопасности, которые обеспечивают круглосуточную защиту с минимальным вмешательством человека или без него.

Ограниченное администрирование : Выбирая надежного поставщика облачных услуг или облачную платформу безопасности, вы можете попрощаться с настройками безопасности вручную и почти постоянными обновлениями безопасности.Эти задачи могут сильно истощать ресурсы, но когда вы перемещаете их в облако, все администрирование безопасности происходит в одном месте и полностью управляется от вашего имени.

Надежность : Услуги облачных вычислений предлагают максимальную надежность. При наличии правильных мер безопасности в облаке пользователи могут безопасно получать доступ к данным и приложениям в облаке независимо от того, где они находятся и какое устройство используют.

Все больше и больше организаций осознают многочисленные преимущества для бизнеса от перевода своих систем в облако.Облачные вычисления позволяют организациям работать в масштабе, сокращать технологические затраты и использовать гибкие системы, которые дают им конкурентное преимущество. Однако важно, чтобы организации были полностью уверены в безопасности своих облачных вычислений и чтобы все данные, системы и приложения были защищены от кражи, утечки, повреждения и удаления.

Все облачные модели подвержены угрозам. ИТ-отделы, естественно, осторожно относятся к переносу критически важных систем в облако, и очень важно, чтобы были обеспечены правильные меры безопасности, независимо от того, используете ли вы собственное облако, гибридную или локальную среду.Облачная безопасность предлагает все функции традиционной ИТ-безопасности и позволяет предприятиям использовать многие преимущества облачных вычислений, оставаясь при этом безопасными, а также обеспечивать соблюдение требований конфиденциальности и соответствия требованиям.

Что такое облачная безопасность? Как защитить облако

Сегментация ответственности за безопасность облака

Большинство поставщиков облачных услуг пытаются создать безопасное облако для клиентов.Их бизнес-модель основана на предотвращении нарушений и поддержании доверия общественности и клиентов. Поставщики облачных услуг могут попытаться избежать проблем с безопасностью облака с помощью предоставляемых ими услуг, но не могут контролировать, как клиенты используют эту услугу, какие данные они добавляют в нее и у кого есть доступ. Заказчики могут ослабить кибербезопасность в облаке с помощью своей конфигурации, конфиденциальных данных и политик доступа. В каждом типе общедоступной облачной службы поставщик облачных услуг и заказчик облачных вычислений разделяют разные уровни ответственности за безопасность.По типу услуг это:

• Программное обеспечение как услуга (SaaS) — Заказчики несут ответственность за безопасность своих данных и доступа пользователей.
• Платформа как услуга (PaaS) — Заказчики несут ответственность за безопасность своих данных, доступа пользователей и приложений.
• Инфраструктура как услуга (IaaS) — Заказчики несут ответственность за безопасность своих данных, доступа пользователей, приложений, операционных систем и виртуального сетевого трафика.

В рамках всех типов общедоступных облачных сервисов клиенты несут ответственность за защиту своих данных и контроль над тем, кто может получить к ним доступ. Безопасность данных в облачных вычислениях имеет фундаментальное значение для успешного внедрения и получения преимуществ облака. Организации, рассматривающие популярные предложения SaaS, такие как Microsoft Office 365 или Salesforce, должны спланировать, как они будут выполнять свои общие обязанности по защите данных в облаке. Тем, кто рассматривает предложения IaaS, такие как Amazon Web Services (AWS) или Microsoft Azure, нужен более полный план, который начинается с данных, но также охватывает безопасность облачных приложений, операционные системы и виртуальный сетевой трафик, каждый из которых также может создать потенциальные проблемы с безопасностью данных. .

7 элементов управления облачной безопасностью, которые вы должны использовать

Еще один день, еще одна утечка данных — из-за неправильно настроенных облачных систем. Наиболее ярким недавним примером является печально известная утечка информации о Capital One этим летом. Нарушение произошло из-за неправильно настроенного брандмауэра веб-приложений с открытым исходным кодом (WAF), который компания финансовых услуг использовала в своих операциях, размещенных на Amazon Web Services (AWS).

Неправильно настроенному WAF, по-видимому, было разрешено перечислить все файлы в любых сегментах данных AWS и прочитать содержимое каждого файла.Согласно блогу Krebs On Security, неправильная конфигурация позволила злоумышленнику обманом заставить брандмауэр ретранслировать запросы к ключевому внутреннему ресурсу на AWS. Ресурс «отвечает за передачу временной информации облачному серверу, включая текущие учетные данные, отправленные службой безопасности для доступа к любому ресурсу в облаке, к которому этот сервер имеет доступ», — поясняется в блоге.

Взлом затронул около 100 миллионов граждан США, при этом было скомпрометировано около 140 000 номеров социального страхования и 80 000 номеров банковских счетов, что в конечном итоге может стоить Capital One до 150 миллионов долларов.

Вот почему неправильная конфигурация по-прежнему является распространенной проблемой для облачных сервисов, за которой следуют семь средств управления безопасностью облака, которые вы должны использовать, чтобы минимизировать риски.

Неправильная конфигурация — серьезная проблема, которая может усугубиться

Итак, насколько серьезна проблема неправильно настроенных облачных систем? Подумайте об этом: к 2022 году по крайней мере 95% отказов облачной безопасности будут происходить по вине клиента, по оценке Gartner, ссылаясь на неправильную конфигурацию и бесхозяйственность.

«Проблема заключается не в безопасности самого облака, а в политиках и технологиях безопасности и управления технологиями», — утверждает Gartner.«Практически во всех случаях именно пользователь, а не поставщик облачных услуг не может управлять средствами управления, используемыми для защиты данных организации», добавив, что «ИТ-директора должны изменить свою линию вопросов с« Безопасно ли облако? »На« Безопасно ли я использую облако? »

Ряд факторов играет роль в создании и обострении проблемы неправильной конфигурации.

• Заблуждения и предположения. Слишком часто предполагается, что поставщик облачных услуг отвечает за безопасность облачной среды.Это только часть истории. Поставщики инфраструктуры как услуги (IaaS), такие как Amazon, Microsoft и Google, заботятся о безопасности своих физических центров обработки данных и серверного оборудования, на котором работают виртуальные машины. Заказчик отвечает за защиту своих виртуальных машин и приложений. Поставщики облачных услуг предлагают услуги и инструменты безопасности для защиты рабочих нагрузок клиентов, но администратор должен фактически реализовать необходимые средства защиты. Неважно, какие средства защиты предлагает поставщик облачных услуг, если клиенты не защищают свои собственные сети, пользователей и приложения.
• Разрыв между восприятием и реальностью. В средах IaaS произошло множество нарушений, которые не соответствуют привычному методу «проникновения вредоносного ПО», как показал опрос McAfee, проведенный в сентябре 2019 года среди 1000 предприятий в 11 странах. В большинстве случаев нарушение «представляет собой оппортунистическую атаку на данные, оставшиеся открытыми из-за ошибок в настройке облачной среды».
  Наряду со своим опросом McAfee изучила анонимные, агрегированные данные о событиях своих клиентов по миллионам пользователей облака и миллиардам событий.Данные показывают тревожный разрыв между неправильными конфигурациями, о которых знают компании, использующие среды IaaS, и теми, которые ускользают от их внимания. Респонденты опроса говорят, что им известно о 37 случаях неправильной конфигурации в месяц, но данные клиентов McAfee показывают, что на этих предприятиях на самом деле происходило около 3500 инцидентов неправильной конфигурации в месяц, что на 54% больше, чем за год. Другими словами, согласно McAfee, 99% случаев неправильной конфигурации в корпоративных средах IaaS остаются незамеченными.
• Множество инструментов для выявления и использования неправильно настроенных облачных сервисов. Согласно отчету Symantec об угрозах в Интернете за 2019 год, в 2018 году «сегменты S3 (AWS) стали ахиллесовой пятой для организаций: более 70 миллионов записей были украдены или утекли в результате неправильной конфигурации». Существует множество широко доступных инструментов, которые позволяют потенциальным злоумышленникам выявлять неправильно настроенные облачные ресурсы в Интернете. Если организации не предпримут действий для надлежащей защиты своих облачных ресурсов, например, следуя советам Amazon по обеспечению безопасности корзин S3, они останутся открытыми для атак.”
• Все более сложные корпоративные ИТ-среды. По словам McAfee, растущее внедрение мультиоблачных сред среди предприятий в сочетании с отсутствием полной осведомленности обо всех облачных сервисах, используемых на предприятии, усугубляет проблему неправильной конфигурации. В своем недавнем исследовании 76% предприятий сообщили о наличии мультиоблачной среды, но изучение данных о клиентах показало, что на самом деле 92% этих сред являются мультиоблачными, что на 18% больше, чем в прошлом году.
• Хотя мультиоблачные среды имеют преимущества, они также могут стать сложными в администрировании, управлении и контроле. «Специалисты по безопасности, отвечающие за защиту данных на платформах IaaS, постоянно играют в догонялки, и у них нет автоматизированного способа отслеживания и автоматического исправления неправильных конфигураций во всех облачных сервисах», — говорит Дэн Флаэрти, директор McAfee по маркетингу продуктов.
  Более того, острая конкуренция на растущем рынке IaaS означает, что Amazon, Microsoft и Google яростно добавляют новые функции в свои предложения.«Только в AWS в этом году было добавлено около 1800 функций по сравнению с 28 функциями в первый год запуска», — отмечает Джон Йео, глобальный вице-президент по исследованиям Cloud Security Alliance. Таким образом, специалистам по безопасности сложно успевать за быстрым темпом внедрения новых функций и функций, что, в свою очередь, может привести к неправильной конфигурации. «В сложной мультиоблачной среде вам нужен эксперт по каждой платформе или услуге, которые вы используете, чтобы убедиться, что приняты соответствующие меры безопасности», — говорит Йео.
  Кроме того, недавние облачные достижения, такие как бессерверные приложения и архитектуры, контейнерные рабочие нагрузки и службы Kubernetes, а также более широкое использование интерфейсов прикладного программирования (API), связывающих различные облачные службы, могут увеличить вероятность неправильной конфигурации, если не будут приняты меры предосторожности и не будут предоставлены права доступа «не отслеживаются и не регулируются постоянно», — отмечает Баладжи Парими, генеральный директор CloudKnox Security. «Люди только начинают понимать опасность этих новых облачных технологий и тенденций», — добавляет он.«Слишком часто они применяют к этим новым технологиям устаревшие методологии безопасности, основанные на статических ролях и предположениях о привилегиях доступа».
  Итог: все более сложные ИТ-среды затрудняют внедрение простых средств управления безопасностью во всей среде, которые могут помочь выявлять и предотвращать неправильные конфигурации, — говорит Йео.

Ниже приведены семь элементов управления облачной безопасностью, которые вам следует использовать.

1. Знайте, за что вы отвечаете

Все облачные сервисы не одинаковы, и уровень ответственности различается.Поставщики программного обеспечения как услуги (SaaS) обеспечивают защиту своих приложений и безопасную передачу и хранение данных, но в средах IaaS это не всегда так. Например, предприятие несет полную ответственность за свои инстансы AWS Elastic Compute Cloud (EC2), Amazon EBS и Amazon Virtual Private Cloud (VPC), включая настройку операционной системы, управление приложениями и защиту данных.

Напротив, Amazon поддерживает операционную систему и приложения для S3, а предприятие отвечает за управление данными, контроль доступа и политики идентификации.Amazon предоставляет инструменты для шифрования данных для S3, но организация должна включать защиту при входе на сервер и выходе из него.

Проверьте еще раз у своих поставщиков услуг IaaS, чтобы понять, кто отвечает за каждый контроль безопасности облака.

2. Контроль, кто имеет доступ

Предприятиям трудно контролировать, кто имеет доступ к их облачным сервисам. Например, согласно исследованию группы Cloud Security Intelligence (CSI) RedLock, проведенному в мае 2018 года, более половины (51%) организаций публично открыли хотя бы одну облачную службу хранения случайно, такую ​​как накопители AWS S3.(RedLock теперь является частью Palo Alto Networks.) И это несмотря на предупреждения Amazon и других облачных провайдеров о недопустимости предоставления доступа к содержимому накопителей для всех, у кого есть подключение к Интернету.

Вообще говоря, только подсистемы балансировки нагрузки и хосты-бастионы должны иметь доступ к Интернету. Многие администраторы по ошибке включают глобальные разрешения на серверах, используя 0.0.0.0/0 в общедоступных подсетях. Соединение остается открытым, что дает возможность подключаться каждой машине.

Другой распространенной ошибкой является разрешение подключений Secure Shell (SSH) непосредственно из Интернета, что означает, что любой, кто может определить местоположение сервера, может обойти брандмауэр и получить прямой доступ к данным.В 2019 году группа исследования угроз Unit 42 Palo Alto Networks провела поиск незащищенных сервисов в общедоступном облаке. Из обнаруженных уязвимых хостов и служб 32% имели открытые службы SSH. «Хотя SSH — один из самых безопасных протоколов, все же слишком рискованно предоставлять этот мощный сервис всему Интернету», — говорится в отчете. «Любая неправильная конфигурация или слабые / просочившиеся учетные данные могут привести к компрометации хоста».

Все крупные облачные провайдеры предлагают инструменты идентификации и контроля доступа; используй их. Знайте, у кого и когда есть доступ к данным.При создании политик идентификации и управления доступом предоставьте минимальный набор необходимых привилегий и временно предоставьте дополнительные разрешения по мере необходимости. Настройте группы безопасности так, чтобы они были максимально узкими; по возможности используйте ссылочные идентификаторы группы безопасности. Подумайте о таких инструментах, как CloudKnox, которые позволяют вам устанавливать контроль доступа на основе данных об активности пользователей.

3. Защитите данные

Другая распространенная ошибка — оставлять данные в облаке незашифрованными. Информация об избирателях и конфиденциальные файлы Пентагона были раскрыты, потому что данные не были зашифрованы, а серверы были доступны неавторизованным сторонам.Хранение конфиденциальных данных в облаке без применения соответствующих средств управления для предотвращения доступа к серверу и защиты данных безответственно и опасно.

По возможности сохраняйте контроль над ключами шифрования. Хотя можно предоставить поставщикам облачных услуг доступ к ключам, ответственность за данные лежит на организации.

Даже когда поставщики облачных услуг предлагают инструменты шифрования и услуги управления, слишком многие компании не внедряют их. Шифрование является отказоустойчивым — даже если конфигурация безопасности не работает и данные попадают в руки неавторизованной стороны, данные не могут быть использованы.

4. Защитите учетные данные

Как показала утечка OneLogin в 2017 году, нередки случаи, когда ключи доступа к AWS раскрываются. Они могут быть представлены на их общедоступных веб-сайтах, в репозиториях исходного кода, на незащищенных панелях управления Kubernetes и других подобных форумах. Относитесь к ключам доступа AWS как к наиболее важной жемчужине и просите разработчиков избегать утечки таких ключей на открытых форумах.

Создайте уникальные ключи для каждой внешней службы и ограничьте доступ по принципу наименьших привилегий.Убедитесь, что у ключей нет широких разрешений. В чужих руках они могут быть использованы для доступа к конфиденциальным ресурсам и данным. Создавайте роли IAM для назначения определенных привилегий, таких как выполнение вызовов API.

Обязательно регулярно меняйте ключи, чтобы не дать злоумышленникам время перехватить скомпрометированные ключи и проникнуть в облачные среды в качестве привилегированных пользователей.

Не используйте учетную запись пользователя root, даже для административных задач. Используйте пользователя root, чтобы создать нового пользователя с назначенными привилегиями.Заблокируйте корневую учетную запись (возможно, добавив многофакторную аутентификацию [MFA]) и используйте ее только для определенных задач управления учетными записями и службами. Для всего остального предоставьте пользователям соответствующие разрешения.

Проверьте учетные записи пользователей, чтобы найти те, которые не используются, а затем отключите их. Если никто не использует эти учетные записи, нет причин указывать злоумышленникам потенциальные пути для взлома.

5. Гигиена безопасности по-прежнему имеет значение

Глубокая защита особенно важна при защите облачных сред, поскольку она гарантирует, что даже в случае отказа одного элемента управления другие функции безопасности могут обеспечить безопасность приложения, сети и данных.

MFA обеспечивает дополнительный уровень защиты поверх имени пользователя и пароля, что затрудняет взлом злоумышленников. MFA должен быть включен, чтобы ограничить доступ к консолям управления, информационным панелям и привилегированным учетным записям.

6. Улучшение видимости

Все основные поставщики облачных услуг предлагают некоторый уровень средств ведения журнала, поэтому обязательно включите ведение журнала безопасности и мониторинг, чтобы отслеживать попытки несанкционированного доступа и другие проблемы. Например, Amazon предоставляет CloudTrail для аудита сред AWS, но слишком многие организации не включают эту услугу.Если этот параметр включен, CloudTrail ведет журнал всех вызовов API AWS, включая идентификационные данные вызывающего API, время вызова, исходный IP-адрес вызывающего абонента, параметры запроса и элементы ответа, возвращаемые сервисом AWS. Его также можно использовать для отслеживания изменений, управления ресурсами, анализа безопасности и аудита соответствия.

7. Принять подход к обеспечению безопасности «сдвиг влево»

Движение «сдвиг влево» выступает за включение соображений безопасности на раннем этапе процесса разработки, а не на добавление безопасности на заключительных этапах разработки.«Предприятиям следует не только отслеживать то, что у них есть на платформах IaaS, они должны проверять весь свой код, который вводится в платформу, прежде чем она будет запущена», — говорит Флаэрти из McAfee. «С помощью Shift-влево вы проверяете и выявляете потенциальные неправильные конфигурации до того, как они станут проблемой». Ищите инструменты безопасности, которые интегрируются с Jenkins, Kubernetes и другими, чтобы автоматизировать процесс аудита и исправлений.

Однако одного сдвига влево недостаточно, отмечает Сэм Бисби, руководитель службы безопасности Threat Stack.«Да, вы должны сканировать код и выполнять проверки конфигурации перед запуском в производственную среду, но слишком часто люди забывают проверить соответствие рабочих нагрузок требованиям после их ввода в производство», — говорит Бисби. «Если я просканирую, а затем разверну свой код, все будет в порядке, исходя из того, что я знал в то время. Но рабочие нагрузки остаются в производственной среде месяцами и годами, обнаруживаются новые уязвимости, и со временем риск в вашем коде возрастает. Если вы не ведете постоянный мониторинг, вы не будете защищены ».

Изучите свою инфраструктуру

Вместо того, чтобы постоянно искать известные угрозы, как это сделали многие профессионалы в области кибербезопасности, вам также следует стремиться понять всю инфраструктуру вашего предприятия и то, что на ней работает, советует Бисби.

По общему признанию, это может быть сложной задачей в сегодняшних усложняющихся многооблачных средах. «Но гораздо легче понять, как что-то должно вести себя, и затем увидеть, когда это изменится, чем постоянно играть в« Ударь крота »с злоумышленниками. Если у вас есть полное представление о вашей среде и вы знаете, чего ожидать, вы можете более эффективно обнаруживать такие угрозы, как неправильная конфигурация, и заранее устранять риски. В конечном итоге безопасность — это видимость, а не контроль ».

Авторские права © IDG Communications, Inc., 2019.

Что такое облачная безопасность? Понять 6 столпов

Облачная безопасность — это общая ответственность

Облачная безопасность — это общая ответственность между поставщиком облачных услуг и заказчиком. В модели общей ответственности в основном есть три категории ответственности: всегда поставщик, всегда клиент и разные в зависимости от модели обслуживания : Инфраструктура как услуга (IaaS) , Платформа как услуга (PaaS) или Программное обеспечение как услуга (SaaS), например облачная электронная почта.

Обязанности по обеспечению безопасности, которые всегда несет провайдер, связаны с защитой самой инфраструктуры, а также с доступом, установкой исправлений и настройкой физических хостов и физической сети, в которой выполняются вычислительные экземпляры, хранилище и другие ресурсы находятся.

Обязанности по безопасности, которые всегда несет заказчик, включают в себя управление пользователями и их привилегиями доступа (управление идентификацией и доступом), защиту облачных учетных записей от несанкционированного доступа, шифрование и защиту облачных активов данных и управление их состоянием безопасности. (согласие).

7 основных вызовов расширенной безопасности облачных вычислений

Поскольку у общедоступного облака нет четких периметров, оно представляет собой принципиально иную реальность безопасности. Это становится еще более сложной задачей при внедрении современных облачных подходов, таких как методы автоматической непрерывной интеграции и непрерывного развертывания (CI / CD), распределенные бессерверные архитектуры и эфемерные активы, такие как «Функции как услуга» и контейнеры.

Некоторые из сложных проблем безопасности облачных вычислений и многочисленные уровни риска, с которыми сегодня сталкиваются организации, ориентированные на облачные вычисления, включают:

1. Увеличенная поверхность атаки

   Общедоступная облачная среда стала большой и очень привлекательной площадкой для атак для хакеров, которые используют плохо защищенные входные порты облака для доступа и нарушения рабочих нагрузок и данных в облаке.Вредоносные программы, нулевой день, захват учетной записи и многие другие вредоносные угрозы стали повседневной реальностью.

2. Отсутствие видимости и отслеживания

   В модели IaaS поставщики облачных услуг имеют полный контроль над уровнем инфраструктуры и не предоставляют его своим клиентам. Отсутствие видимости и контроля еще больше распространяется в облачных моделях PaaS и SaaS. Клиенты облака часто не могут эффективно идентифицировать и количественно оценить свои облачные активы или визуализировать свои облачные среды.

3. Постоянно меняющиеся рабочие нагрузки

   Облачные ресурсы выделяются и выводятся из эксплуатации динамически — в нужном масштабе и быстро. Традиционные инструменты безопасности просто неспособны обеспечить соблюдение политик защиты в такой гибкой и динамичной среде с ее постоянно меняющимися и эфемерными рабочими нагрузками.

4. DevOps, DevSecOps и автоматизация

   Организации, принявшие культуру DevOps CI / CD с высокой степенью автоматизации, должны гарантировать, что соответствующие меры безопасности определены и встроены в код и шаблоны на ранних этапах цикла разработки.Изменения, связанные с безопасностью, осуществленные после того, как рабочая нагрузка была развернута в производстве, могут подорвать состояние безопасности организации, а также увеличить время выхода на рынок.

5. Детальное управление привилегиями и ключами

   Часто роли облачных пользователей настраиваются очень слабо, предоставляя обширные привилегии, выходящие за рамки запланированных или требуемых. Одним из распространенных примеров является предоставление разрешений на удаление или запись базы данных неподготовленным пользователям или пользователям, которым не нужно удалять или добавлять ресурсы базы данных.На уровне приложения неправильно настроенные ключи и привилегии подвергают сеансы рискам безопасности.

6. Сложные среды

   Для единообразного управления безопасностью в гибридных и мультиоблачных средах, предпочитаемых предприятиями в наши дни, требуются методы и инструменты, которые беспрепятственно работают с поставщиками общедоступного облака, поставщиками частного облака и локальными развертываниями, включая защиту границ филиалов для географически распределенных организаций.

7. Соответствие и управление облакам

   Все ведущие облачные провайдеры присоединились к большинству известных программ аккредитации, таких как PCI 3.2, NIST 800-53, HIPAA и GDPR. Однако клиенты несут ответственность за соответствие своей рабочей нагрузки и процессов обработки данных. Учитывая плохую видимость, а также динамику облачной среды, процесс аудита соответствия становится практически невозможным, если не используются инструменты для обеспечения непрерывных проверок соответствия и выдачи предупреждений в реальном времени о неправильных настройках.

Нулевое доверие и почему вы должны его принять

Термин «нулевое доверие» впервые был введен в 2010 году Джоном Киндервагом, который в то время был старшим аналитиком Forrester Research. Основной принцип нулевого доверия в облачной безопасности — не доверять автоматически кому-либо или чему-либо внутри или вне сети, а проверять (то есть авторизовывать, проверять и защищать) все.

Например,

Zero Trust продвигает стратегию управления с наименьшими привилегиями, при которой пользователям предоставляется доступ только к тем ресурсам, которые им необходимы для выполнения своих обязанностей.Точно так же он призывает разработчиков обеспечить надлежащую защиту веб-приложений. Например, если разработчик не заблокировал порты последовательно или не реализовал разрешения «по мере необходимости», хакер, взявший на себя управление приложением, будет иметь привилегии для извлечения и изменения данных из базы данных.

Кроме того, сети Zero Trust используют микросегментацию, чтобы сделать безопасность облачной сети гораздо более детальной. Микросегментация создает безопасные зоны в центрах обработки данных и облачных развертываниях, тем самым сегментируя рабочие нагрузки друг от друга, обеспечивая безопасность всего внутри зоны и применяя политики для защиты трафика между зонами.

Шесть столпов надежной облачной безопасности

В то время как облачные провайдеры, такие как Amazon Web Services (AWS), Microsoft Azure (Azure) и Google Cloud Platform (GCP), предлагают множество встроенных в облако функций и служб безопасности, дополнительные сторонние решения являются необходим для обеспечения защиты облачных рабочих нагрузок корпоративного уровня от взломов, утечек данных и целевых атак в облачной среде. Только интегрированный стек безопасности, родной для облака / стороннего производителя, обеспечивает централизованную видимость и детальный контроль на основе политик, необходимые для реализации следующих передовых отраслевых практик:

1. Детализированный контроль IAM на основе политик и аутентификации в сложных инфраструктурах

   Работайте с группами и ролями, а не на индивидуальном уровне IAM, чтобы упростить обновление определений IAM по мере изменения бизнес-требований.Предоставляйте только минимальные права доступа к активам и API, которые необходимы группе или роли для выполнения своих задач. Чем шире привилегии, тем выше уровни аутентификации. И не пренебрегайте гигиеной IAM, соблюдением политики надежных паролей, тайм-аутом разрешений и т. Д.

2. Нулевое доверие Облачная сетевая безопасность Контроль логически изолированных сетей и микросегментов

   Развертывайте критически важные для бизнеса ресурсы и приложения в логически изолированных частях облачной сети поставщика, таких как виртуальные частные облака (AWS и Google) или vNET (Azure).Используйте подсети для микросегментации рабочих нагрузок друг от друга с детализированными политиками безопасности на шлюзах подсетей. Используйте выделенные каналы глобальной сети в гибридных архитектурах и используйте статические конфигурации маршрутизации, определяемые пользователем, для настройки доступа к виртуальным устройствам, виртуальным сетям и их шлюзам, а также общедоступным IP-адресам.

3. Применение политик и процессов защиты виртуальных серверов, таких как управление изменениями и обновления программного обеспечения :

   Поставщики облачной безопасности обеспечивают надежное управление состоянием облачной безопасности, последовательно применяя правила и шаблоны управления и соответствия при инициализации виртуальных серверов, проверяя отклонения в конфигурации и автоматически исправляя ошибки там, где это возможно.

4. Защита всех приложений (и особенно облачных распределенных приложений) с помощью брандмауэра веб-приложений нового поколения

   Он будет детально проверять и контролировать трафик к серверам веб-приложений и от них, автоматически обновляет правила WAF в ответ на изменения поведения трафика и развертывается ближе к микросервисам, на которых выполняются рабочие нагрузки.

5. Усиленная защита данных

   Улучшенная защита данных с шифрованием на всех транспортных уровнях, безопасное совместное использование файлов и обмен данными, постоянное управление рисками соответствия и поддержание надлежащей гигиены ресурсов хранения данных, например, обнаружение неправильно настроенных сегментов и завершение бесхозных ресурсов.

6. Аналитика угроз , которая обнаруживает и устраняет известные и неизвестные угрозы в режиме реального времени

   Сторонние поставщики облачной безопасности добавляют контекст к большим и разнообразным потокам облачных журналов, интеллектуально связывая агрегированные данные журналов с внутренними данными, такими как системы управления активами и конфигурациями, сканеры уязвимостей и т. Д., И внешними данными, такими как общедоступные. каналы разведки угроз, базы данных геолокации и т. д.Они также предоставляют инструменты, которые помогают визуализировать и запрашивать ландшафт угроз и способствовать более быстрому реагированию на инциденты. Алгоритмы обнаружения аномалий на основе ИИ применяются для обнаружения неизвестных угроз, которые затем подвергаются криминалистическому анализу для определения их профиля риска. Оповещения в режиме реального времени о вторжениях и нарушениях политик сокращают время до исправления, иногда даже запускают рабочие процессы автоматического исправления.

Узнать больше о решениях Check Point CloudGuard

Унифицированная платформа облачной безопасности CloudGuard от Check Point легко интегрируется с облачными службами безопасности поставщиков, чтобы гарантировать, что пользователи облака поддерживают свою часть модели общей ответственности и поддерживают политики нулевого доверия по всем компонентам облачной безопасности: контроль доступа, сетевая безопасность, соответствие виртуальным серверам, защита рабочих нагрузок и данных, а также анализ угроз.

Решения для унифицированной облачной безопасности Check Point

Что такое облачная безопасность? | Digital Guardian

Сегодня, когда все больше компаний используют жизненно важные бизнес-вычислительные функции в облаке, безопасность облака становится обязательной, поскольку злоумышленники стремятся использовать уязвимости и получить несанкционированный доступ к конфиденциальным данным. В этом посте мы поговорим о преимуществах облачной безопасности, а также о некоторых передовых методах, которым нужно следовать.

Определение безопасности облака

Безопасность облака относится к форме кибербезопасности, которая охватывает политики, практики и технологии для защиты систем облачных вычислений.Он защищает данные, хранящиеся в облаке, и другие цифровые активы от утечки данных, вредоносного ПО, распределенного отказа в обслуживании (DDoS), взлома и других угроз кибербезопасности. Это также называется безопасностью облачных вычислений.

Преимущества облачных вычислений

Почему так много предприятий в первую очередь обращаются к облаку? Вот несколько причин, по которым клиенты (предприятия и отдельные пользователи) используют облачные сервисы:

• Централизованная безопасность : облачная безопасность может обеспечить функциональность традиционной ИТ-безопасности, позволяя клиентам безопасно и конфиденциально пользоваться преимуществами облачных вычислений.Поскольку облако централизует приложения и данные, поставщик облака может централизовать защиту и оптимизировать процесс мониторинга. Также легко выполнить восстановление, поскольку облачный провайдер может управлять всем из одного места.
• Снижение затрат и рабочей силы : Облако устраняет необходимость покупать выделенное оборудование и управлять им.
• Надежность и удобство : Благодаря мерам безопасности в облаке клиенты облака могут безопасно получать доступ к своим данным и приложениям, где бы они ни находились или к любому гаджету, который они используют.
• Другие преимущества облачной безопасности , такие как гибкость, масштабируемость, покрытие, видимость и упреждающее реагирование.

Почему важна облачная безопасность? Компании не могут воспользоваться многочисленными преимуществами облака при сохранении уровня безопасности без адекватных мер безопасности для облачных приложений и растущего объема данных, хранящихся в облаке.

Категории облачных вычислений

Чтобы понять безопасность облака и некоторые общие проблемы безопасности облака, вы сначала должны иметь представление о различных категориях облачных вычислений.

Облачные вычисления предоставляют различные ИТ-услуги, такие как хостинг, хранение и обработка данных, через Интернет. Например, вместо того, чтобы сохранять файлы на жестком диске, теперь вы можете сохранять их в облаке и получать к ним доступ из любого места, если вы подключены к Интернету. Облачные вычисления поддерживают совместную работу в реальном времени даже для удаленных или распределенных команд. Например, несколько членов команды могут одновременно работать с файлом в Google Docs вместо того, чтобы создавать файл в Microsoft Word и отправлять вложения по электронной почте туда и обратно.Это делает облачные вычисления популярным вариантом как для предприятий, так и для индивидуальных пользователей.

• Общедоступное облако : общедоступное облако размещается и управляется поставщиками общедоступных облачных сервисов, такими как Google Cloud, Microsoft Azure и Amazon Web Services (AWS). Вы можете получить доступ к общедоступному облаку через свой браузер.
• Частное облако : Частное облако предназначено для клиента (например, компании или организации). Только этот клиент имеет доступ к своему частному облаку.
• Гибридное облако : гибридное облако сочетает в себе определенные качества общедоступных и частных облаков.По сравнению с размещением в общедоступной облачной среде заказчик имеет больший контроль над своими данными и ресурсами, но при этом может пользоваться некоторыми преимуществами общедоступной облачной службы.

Облачные сервисы также подразделяются на 3 модели облачных сервисов:

• Инфраструктура как услуга (IaaS) : Эта модель предоставляет ресурсы облачной инфраструктуры (например, сеть, хранилище и ОС) с помощью технологии виртуализации. Заказчик контролирует инфраструктуру, не управляя ею физически.Примерами IaaS являются Microsoft Azure и Amazon Web Services (AWS).
• Платформа как услуга (PaaS) : Эта модель предоставляет онлайн-платформу, на которой разработчики могут создавать и запускать собственные приложения. Примерами PaaS являются Google App Engine и OpenShift.
• Программное обеспечение как услуга (SaaS) : Эта модель предоставляет программные услуги поставщика. В свою очередь, заказчик может получить доступ к услугам через браузер. Некоторые популярные предложения SaaS — это Microsoft Office 365 и Dropbox.

Сообщение в блоге Что такое SaaS-компания?

Проблемы и проблемы безопасности облака

Многие пользователи облачных вычислений ожидают, что их данные в облаке будут более безопасными, чем на их жестких дисках или локальных серверах. Хотя поставщики облачных услуг принимают меры кибербезопасности, это не означает, что они неуязвимы для утечек данных, DDoS и других угроз кибербезопасности.

Клиенты должны помнить, что их выбор облачной службы влияет на уровень контроля, который у них есть.Например, клиенты, которые используют общедоступное облако, имеют меньший контроль, поскольку их данные и приложения размещаются у поставщика общедоступного облака. (Сравните это с традиционной ИТ-конфигурацией, в которой все, что происходит с данными клиента, будет полностью зависеть от действий клиента.) Тем не менее, у клиентов есть возможность выбрать путь частного или гибридного облака для получения большего контроля, а не размещен в общедоступном облаке.

IaaS, PaaS и SaaS также предлагают различные уровни контроля безопасности. В IaaS клиенты будут нести ответственность за безопасность своих данных, приложений, ОС, доступа пользователей и виртуального сетевого трафика.В PaaS есть меньше вещей, на которые следует обратить внимание клиентам: их данные, доступ пользователей и приложения. В SaaS заказчик будет нести ответственность только за свои данные и доступ пользователей.

Как защитить вашу облачную вычислительную среду

Вот несколько лучших практик, которые следует реализовать для достижения максимального уровня облачной безопасности:

• Имейте работающую программу облачной безопасности.
• Воспользуйтесь инструментами классификации данных для выявления конфиденциальных или регулируемых данных, а затем оцените, как к этим данным обращаются, как они используются и передаются.Оцените права доступа к файлам и папкам, содержащим конфиденциальные данные, а также конкретные роли, местоположения и типы устройств, используемых для доступа к этим данным.
• Убедитесь, что ваши наиболее конфиденциальные данные отделены от ресурсов поставщика облачных услуг и других клиентов. Частное облако часто является лучшим выбором для высокочувствительных данных или данных, подлежащих строгим нормативным требованиям.
• Используйте инструменты анализа поведения пользователей и объектов (UEBA) для отслеживания подозрительной активности, чтобы вы могли быстро действовать и защитить свои конфиденциальные данные в случае несанкционированного доступа.
• Внедрить средства контроля безопасности в облаке. Помимо классификации данных и UEBA, внедрите инструменты для управления разрешениями и правами доступа, управления паролями, аварийного восстановления, предотвращения вредоносных программ и шифрования.
• Выполняйте регулярный мониторинг, сканирование уязвимостей, аудит системы и исправления для обнаружения и устранения угроз безопасности облака.
• Убедитесь, что методы обеспечения безопасности облачных данных соответствуют отраслевым нормам и нормативным требованиям.

Облако становится популярным выбором для управления данными и приложениями, что подчеркивает важность облачной безопасности.Это предполагает сотрудничество между поставщиками облачных услуг и их клиентами. Облачные провайдеры обычно вносят свой вклад, внедряя несколько облачных сервисов безопасности, таких как ограничение доступа, резервное копирование и восстановление, функции безопасности, такие как шифрование, тестирование на проникновение и 2FA, среди прочего.

Клиенты тоже должны вносить свой вклад, например, соблюдать общие меры безопасности (например, избегать общедоступных сетей Wi-Fi и использовать VPN) и использовать инструменты (например, облачные решения для обеспечения безопасности). Оцените Cloud Data Protection от Digital Guardian, который позволяет использовать облачные приложения и хранилище, сохраняя при этом прозрачность и контроль, необходимые для соблюдения нормативных требований.

Теги: Облачная безопасность

Что такое облачная безопасность? | Касперский

Определение безопасности облака

Облачная безопасность — это дисциплина кибербезопасности, предназначенная для защиты систем облачных вычислений. Сюда входит обеспечение конфиденциальности и безопасности данных в сетевой инфраструктуре, приложениях и платформах. Защита этих систем требует усилий поставщиков облачных услуг и клиентов, которые их используют, будь то частные лица, предприятия малого и среднего бизнеса или предприятия.

Облачные провайдеры размещают сервисы на своих серверах через постоянное подключение к Интернету. Поскольку их бизнес зависит от доверия клиентов, используются методы облачной безопасности для обеспечения конфиденциальности и безопасного хранения данных клиентов. Однако облачная безопасность также частично находится в руках клиента. Понимание обоих аспектов имеет решающее значение для надежного решения облачной безопасности.

По сути, облачная безопасность состоит из следующих категорий:

• Безопасность данных
• Управление идентификацией и доступом (IAM)
• Управление (политики предотвращения, обнаружения и смягчения угроз)
• Планирование сохранения данных (DR) и непрерывности бизнеса (BC)
• Соответствие законодательству

Облачная безопасность может выглядеть как устаревшая ИТ-безопасность, но на самом деле эта структура требует другого подхода.Прежде чем углубиться в подробности, давайте сначала посмотрим, что такое облачная безопасность.

Что такое облачная безопасность?

Облачная безопасность — это совокупность технологий, протоколов и передовых практик, которые защищают облачные вычислительные среды, приложения, работающие в облаке, и данные, хранящиеся в облаке. Защита облачных сервисов начинается с понимания того, что именно защищается, а также системных аспектов, которыми необходимо управлять.

В целом, разработка серверной части для защиты от уязвимостей в значительной степени находится в руках поставщиков облачных услуг.Помимо выбора поставщика, заботящегося о безопасности, клиенты должны в основном сосредоточиться на правильной конфигурации услуг и безопасных привычках использования. Кроме того, клиенты должны быть уверены, что оборудование и сети конечного пользователя должным образом защищены.

Полная облачная безопасность предназначена для защиты следующих лиц, независимо от ваших обязанностей:

• Физические сети — маршрутизаторы, электроэнергия, кабели, климат-контроль и т. Д.
• Хранение данных — жесткие диски и т. Д.
• Серверы данных — вычислительное оборудование и программное обеспечение базовой сети
• Фреймворки виртуализации компьютеров — программное обеспечение виртуальных машин, хост-машины и гостевые машины
• Операционные системы (ОС) — программное обеспечение, в котором размещается
• Middleware — управление прикладным программным интерфейсом (API),
• Среда выполнения — выполнение и поддержка работающей программы
• Данные — вся информация, хранящаяся, изменяемая и используемая
• Приложения — традиционные программные услуги (электронная почта, налоговое программное обеспечение, пакеты для повышения производительности и т. Д.)
• Аппаратное обеспечение конечного пользователя — компьютеры, мобильные устройства, устройства Интернета вещей (IoT) и т. Д.

При использовании облачных вычислений право собственности на эти компоненты может широко варьироваться. Это может сделать неясным объем обязанностей клиента по обеспечению безопасности. Поскольку защита облака может выглядеть по-разному в зависимости от того, кто имеет власть над каждым компонентом, важно понимать, как они обычно группируются.

Для упрощения компоненты облачных вычислений защищены с двух основных точек зрения:

1.Типы облачных сервисов предлагаются сторонними поставщиками в качестве модулей, используемых для создания облачной среды. В зависимости от типа услуги вы можете управлять различными компонентами внутри услуги:

• Ядро любой сторонней облачной службы включает в себя поставщика, управляющего физической сетью, хранилищем данных, серверами данных и структурами виртуализации компьютеров. Сервис хранится на серверах провайдера и виртуализируется через их внутренне управляемую сеть для доставки клиентам для удаленного доступа.Это снижает затраты на оборудование и другую инфраструктуру, предоставляя клиентам доступ к своим вычислительным потребностям из любого места через подключение к Интернету.
• «Программное обеспечение как услуга» (SaaS) облачные сервисы предоставляют клиентам доступ к приложениям, которые размещены и выполняются исключительно на серверах провайдера. Провайдеры управляют приложениями, данными, средой выполнения, промежуточным программным обеспечением и операционной системой. Клиенты получают только свои заявки. Примеры SaaS включают Google Диск, Slack, Salesforce, Microsoft 365, Cisco WebEx, Evernote.
• «Платформа как услуга» облачные сервисы предоставляют клиентам хост для разработки собственных приложений, которые запускаются в собственном «изолированном» пространстве клиента на серверах провайдера. Провайдеры управляют средой выполнения, промежуточным программным обеспечением и операционной системой. Клиентам поручено управлять своими приложениями, данными, доступом пользователей, устройствами конечных пользователей и сетями конечных пользователей. Примеры PaaS включают Google App Engine, Windows Azure.
• «Инфраструктура как услуга» (IaaS) облачные сервисы предлагают клиентам аппаратное обеспечение и инфраструктуры удаленного подключения для размещения большей части их вычислений, вплоть до операционной системы.Провайдеры управляют только основными облачными сервисами. Перед клиентами стоит задача обеспечить безопасность всего, что размещается в операционной системе, включая приложения, данные, время выполнения, промежуточное ПО и саму ОС. Кроме того, клиентам необходимо управлять доступом пользователей, устройствами конечных пользователей и сетями конечных пользователей. Примеры IaaS включают Microsoft Azure, Google Compute Engine (GCE), Amazon Web Services (AWS).

2. Облачные среды — это модели развертывания, в которых одна или несколько облачных служб создают систему для конечных пользователей и организаций.Они разделяют обязанности по управлению, включая безопасность, между клиентами и поставщиками.

В настоящее время используются следующие облачные среды:

• Общедоступные облачные среды состоят из многопользовательских облачных сервисов, в которых клиент использует серверы поставщика совместно с другими клиентами, такими как офисное здание или коворкинг. Это сторонние сервисы, запускаемые поставщиком для предоставления клиентам доступа через Интернет.
• Частное Сторонние облачные среды основаны на использовании облачной службы, которая предоставляет клиенту эксклюзивное право использования своего собственного облака.Эти однопользовательские среды обычно принадлежат, управляются и эксплуатируются внешним поставщиком.
• Частные внутренние облачные среды также состоят из однопользовательских серверов облачных служб, но работают из собственного частного центра обработки данных. В этом случае эта облачная среда управляется самим бизнесом, чтобы обеспечить полную конфигурацию и настройку каждого элемента.
• Мультиоблачные среды включают использование двух или более облачных сервисов от разных поставщиков.Это может быть любое сочетание общедоступных и / или частных облачных сервисов.
• Гибридные облачные среды представляют собой сочетание частного стороннего облака и / или локального центра обработки данных частного облака с одним или несколькими общедоступными облаками.

Рассматривая это с этой точки зрения, мы можем понять, что безопасность на основе облака может немного отличаться в зависимости от типа облачного пространства, в котором работают пользователи. Но последствия ощущаются как индивидуальными клиентами, так и клиентами организации.

Как работает облачная безопасность?

Каждая мера безопасности в облаке выполняет одно или несколько из следующих действий:

• Включить восстановление данных в случае потери данных
• Защита хранилищ и сетей от злонамеренного кражи данных
• Предотвратить человеческую ошибку или халатность, приведшие к утечке данных
• Снижение воздействия любых данных или компрометации системы

Безопасность данных — это аспект облачной безопасности, который включает техническую сторону предотвращения угроз.Инструменты и технологии позволяют поставщикам и клиентам устанавливать барьеры между доступом и видимостью конфиденциальных данных. Среди них шифрование — один из самых мощных доступных инструментов. Шифрование шифрует ваши данные, чтобы их мог прочитать только тот, у кого есть ключ шифрования. Если ваши данные будут потеряны или украдены, они станут нечитаемыми и бессмысленными. Защита передачи данных , например, виртуальные частные сети (VPN), также подчеркивается в облачных сетях.

Управление идентификацией и доступом (IAM) относится к привилегиям доступа, предлагаемым учетным записям пользователей. Здесь также применяется управление аутентификацией и авторизацией учетных записей пользователей. Контроль доступа имеет решающее значение для ограничения пользователей — как законных, так и злонамеренных — от доступа и компрометации конфиденциальных данных и систем. Управление паролями, многофакторная аутентификация и другие методы входят в сферу применения IAM.

Governance фокусируется на политиках предотвращения, обнаружения и смягчения угроз.В случае малого и среднего бизнеса и предприятий такие аспекты, как угроза Intel , могут помочь в отслеживании и приоритизации угроз, чтобы обеспечить тщательную защиту важных систем. Однако даже отдельные облачные клиенты могут извлечь выгоду из оценки политики безопасного поведения пользователей и обучения . Они применяются в основном в организационной среде, но правила безопасного использования и реагирования на угрозы могут быть полезны любому пользователю.

Планирование сохранения данных (DR) и непрерывности бизнеса (BC) включает технические меры аварийного восстановления в случае потери данных.Центральное место в любом плане DR и BC занимают методы избыточности данных , такие как резервное копирование. Кроме того, может помочь наличие технических систем для обеспечения бесперебойной работы. Рамки для проверки на достоверность резервных копий и подробные инструкции по восстановлению сотрудников не менее важны для тщательного плана BC.

Соответствие законодательству направлено на защиту конфиденциальности пользователей, установленную законодательными органами. Правительства осознали важность защиты информации частных пользователей от использования в целях получения прибыли.Таким образом, организации должны соблюдать правила, чтобы соблюдать эти политики. Одним из подходов является использование маскирования данных , , которое скрывает идентичность в данных с помощью методов шифрования.

Чем отличается безопасность в облаке?

Традиционная ИТ-безопасность претерпела огромную эволюцию из-за перехода к облачным вычислениям. В то время как облачные модели обеспечивают большее удобство, постоянное подключение требует новых соображений для обеспечения их безопасности. Облачная безопасность как модернизированное решение кибербезопасности отличается от устаревших ИТ-моделей несколькими способами.

Хранение данных: Самым большим отличием является то, что старые модели ИТ в значительной степени полагались на локальное хранилище данных. Организации давно пришли к выводу, что создание всех ИТ-инфраструктур для подробных настраиваемых элементов управления безопасностью стоит дорого и сложно. Облачные фреймворки помогли снизить затраты на разработку и обслуживание системы, но также избавили пользователей от некоторого контроля.

Скорость масштабирования: Аналогичным образом, облачная безопасность требует особого внимания при масштабировании ИТ-систем организации.Инфраструктура и приложения, ориентированные на облако, имеют модульную структуру и их можно быстро мобилизовать. Хотя эта способность позволяет системам единообразно адаптироваться к организационным изменениям, она вызывает опасения, когда потребность организации в обновлениях и удобстве превосходит их способность не отставать от безопасности.

Интерфейс системы конечного пользователя: Как для организаций, так и для отдельных пользователей облачные системы также взаимодействуют со многими другими системами и службами, которые должны быть защищены. Права доступа должны поддерживаться от уровня устройства конечного пользователя до уровня программного обеспечения и даже уровня сети.Помимо этого, поставщики и пользователи должны внимательно относиться к уязвимостям, которые они могут вызвать из-за небезопасной настройки и поведения доступа к системе.

Близость к другим сетевым данным и системам: Поскольку облачные системы представляют собой постоянное соединение между поставщиками облачных услуг и всеми их пользователями, эта значительная сеть может поставить под угрозу даже самого поставщика. В сетевых ландшафтах одно слабое устройство или компонент может быть использовано для заражения остальных. Поставщики облачных услуг подвергаются угрозам со стороны многих конечных пользователей, с которыми они взаимодействуют, независимо от того, предоставляют ли они хранилище данных или другие услуги.Дополнительные обязанности по обеспечению сетевой безопасности ложатся на поставщиков, которые в противном случае поставляли продукты исключительно на системах конечных пользователей, а не на своих собственных.

Решение большинства проблем облачной безопасности означает, что пользователи и поставщики облачных услуг — как в личной, так и в бизнес-среде — должны проявлять инициативу в отношении своих ролей в кибербезопасности. Этот двусторонний подход означает, что пользователи и поставщики взаимно должны обращаться к:

Безопасная настройка и обслуживание системы.

Обучение пользователей безопасности — как в поведенческом, так и в техническом плане.

В конечном счете, поставщики облачных услуг и пользователи должны обладать прозрачностью и подотчетностью, чтобы гарантировать безопасность обеих сторон.

Риски безопасности облака

Каковы проблемы безопасности в облачных вычислениях? Потому что, если вы их не знаете, как вы должны принять надлежащие меры? В конце концов, слабая облачная безопасность может подвергнуть пользователей и поставщиков всем типам угроз кибербезопасности. Некоторые распространенные угрозы облачной безопасности включают:

• Риски облачной инфраструктуры , включая несовместимые устаревшие ИТ-инфраструктуры и сбои в работе сторонних служб хранения данных.
• Внутренние угрозы из-за человеческой ошибки , такие как неправильная конфигурация контроля доступа пользователей.
• Внешние угрозы вызваны почти исключительно злоумышленниками, такими как вредоносные программы, фишинг и DDoS-атаки.

Самый большой риск, связанный с облаком, заключается в отсутствии периметра. Традиционная кибербезопасность сосредоточена на защите периметра, но облачные среды тесно связаны, что означает, что небезопасные API (интерфейсы программирования приложений) и взлом учетных записей могут создавать реальные проблемы.Столкнувшись с рисками безопасности облачных вычислений, специалистам по кибербезопасности необходимо перейти на подход, ориентированный на данные.

Взаимосвязанность также создает проблемы для сетей. Злоумышленники часто взламывают сети через скомпрометированные или слабые учетные данные. Как только хакеру удается совершить посадку, он может легко расширить и использовать плохо защищенные интерфейсы в облаке для поиска данных в различных базах данных или узлах. Они даже могут использовать свои собственные облачные серверы в качестве места назначения, куда они могут экспортировать и хранить любые украденные данные.Безопасность должна быть в облаке, а не только в защите доступа к вашим облачным данным.

Стороннее хранилище ваших данных и доступ через Интернет также представляют свои собственные угрозы. Если по какой-либо причине эти услуги будут прерваны, ваш доступ к данным может быть утерян. Например, отключение телефонной сети может означать, что вы не можете получить доступ к облаку в нужный момент. Кроме того, отключение электроэнергии может повлиять на центр обработки данных, в котором хранятся ваши данные, возможно, с безвозвратной потерей данных.

Такие перебои могут иметь долгосрочные последствия. Недавнее отключение электроэнергии в облачном хранилище данных Amazon привело к потере данных для некоторых клиентов, когда серверы повредили оборудование. Это хороший пример того, почему у вас должны быть локальные резервные копии хотя бы некоторых ваших данных и приложений.

Почему важна безопасность в облаке

В 1990-е годы деловые и личные данные находились локально, и безопасность также была локальной. Данные будут находиться во внутренней памяти ПК дома и на корпоративных серверах, если вы работали в компании.

Внедрение облачных технологий заставило всех переоценить кибербезопасность. Ваши данные и приложения могут перемещаться между локальными и удаленными системами и всегда доступны в Интернете. Если вы открываете Документы Google на своем смартфоне или используете программное обеспечение Salesforce для заботы о своих клиентах, эти данные можно хранить где угодно. Таким образом, защита становится более сложной, чем когда речь шла только о предотвращении доступа нежелательных пользователей к вашей сети. Облачная безопасность требует корректировки некоторых прежних ИТ-практик, но она стала более важной по двум ключевым причинам:

1. Удобство важнее безопасности. Облачные вычисления экспоненциально растут как основной метод как для рабочего места, так и для индивидуального использования. Инновации позволили внедрять новые технологии быстрее, чем могут соответствовать отраслевые стандарты безопасности, возлагая на пользователей и поставщиков больше ответственности за рассмотрение рисков доступности.
2. Централизация и мультитенантное хранилище. Каждый компонент — от базовой инфраструктуры до небольших данных, таких как электронная почта и документы — теперь может быть обнаружен и доступен удаленно через круглосуточные веб-соединения.Сбор всех этих данных на серверах нескольких крупных поставщиков услуг может быть очень опасным. Теперь злоумышленники могут атаковать крупные центры обработки данных с несколькими организациями и вызывать огромные утечки данных.

К сожалению, злоумышленники осознают ценность облачных целей и все чаще исследуют их на предмет эксплойтов. Несмотря на то, что облачные провайдеры берут на себя многие роли безопасности у клиентов, они не всем управляют. Это оставляет даже нетехнических пользователей обязанностью самообучаться по облачной безопасности.

Тем не менее, не только пользователи несут ответственность за безопасность облака. Осознание объема ваших обязанностей по обеспечению безопасности поможет всей системе оставаться в большей безопасности.

Проблемы безопасности облака — конфиденциальность

Законодательство было принято, чтобы помочь защитить конечных пользователей от продажи и передачи их конфиденциальных данных. Общие правила защиты данных (GDPR) и Закон о переносимости и подотчетности медицинского страхования (HIPAA) выполняют свои собственные обязанности по защите конфиденциальности, ограничивая способы хранения и доступа к данным.

Методы управления идентификацией, такие как маскирование данных, использовались для отделения идентифицируемых функций от пользовательских данных в соответствии с GDPR. Для соответствия HIPAA организации, такие как медицинские учреждения, должны убедиться, что их поставщик также вносит свой вклад в ограничение доступа к данным.

Закон об облаке дает поставщикам облачных услуг свои собственные юридические ограничения, которых необходимо придерживаться, возможно, за счет конфиденциальности пользователей. Федеральный закон США теперь разрешает правоохранительным органам на федеральном уровне запрашивать запрашиваемые данные с серверов облачных провайдеров.Хотя это может позволить провести расследования эффективно, это может привести к нарушению некоторых прав на неприкосновенность частной жизни и стать причиной потенциального злоупотребления властью.

Как защитить облако

К счастью, вы можете многое сделать для защиты своих данных в облаке. Давайте рассмотрим некоторые из популярных методов.

Encryption — один из лучших способов защитить ваши облачные вычислительные системы. Существует несколько различных способов использования шифрования, и они могут быть предложены поставщиком облачных услуг или отдельным поставщиком решений для обеспечения безопасности облачных вычислений:

• Шифрование связи с облаком в целом.
• Шифрование особо конфиденциальных данных , таких как учетные данные.
• Сквозное шифрование всех данных, загружаемых в облако.

В «облаке» данные больше подвержены риску перехвата, когда они находятся в движении. Когда он перемещается из одного места хранения в другое или передается в ваше локальное приложение, он уязвим. Следовательно, сквозное шифрование — лучшее решение для облачной безопасности критически важных данных.Благодаря сквозному шифрованию ваше общение ни в коем случае не будет доступно посторонним без вашего ключа шифрования.

Вы можете либо зашифровать свои данные самостоятельно, прежде чем хранить их в облаке, либо вы можете использовать облачного провайдера, который зашифрует ваши данные как часть службы. Однако, если вы используете облако только для хранения неконфиденциальных данных, таких как корпоративная графика или видео, сквозное шифрование может оказаться излишним. С другой стороны, это жизненно важно для финансовой, конфиденциальной или коммерчески важной информации.

Если вы используете шифрование, помните, что безопасное и надежное управление вашими ключами шифрования имеет решающее значение. Храните резервную копию ключа и в идеале не храните ее в облаке. Вы также можете регулярно менять свои ключи шифрования, чтобы, если кто-то получит к ним доступ, они будут заблокированы для системы, когда вы сделаете замену.

Конфигурация — еще один эффективный метод облачной безопасности. Многие утечки данных в облаке происходят из-за основных уязвимостей, таких как ошибки неправильной конфигурации.Предотвращая их, вы значительно снижаете риск облачной безопасности. Если вы не уверены, что делаете это в одиночку, вы можете рассмотреть возможность использования отдельного поставщика решений для облачной безопасности.

Вот несколько принципов, которым вы можете следовать:

1. Никогда не оставляйте настройки по умолчанию без изменений . Использование настроек по умолчанию дает хакеру прямой доступ. Не делайте этого, чтобы усложнить путь хакеру в вашу систему.
2. Никогда не оставляйте ведро облачного хранилища открытым. Открытый сегмент может позволить хакерам увидеть контент, просто открыв URL-адрес хранилища.
3. Если поставщик облачных услуг предоставляет вам средства контроля безопасности, которые вы можете включить, используйте их. Если вы не выберете правильные параметры безопасности, это может поставить вас под угрозу.

Basic Советы по кибербезопасности также следует встроить в любую облачную реализацию. Даже если вы используете облако, нельзя игнорировать стандартные методы кибербезопасности. Итак, если вы хотите максимально обезопасить себя в сети, стоит учесть следующее:

• Используйте надежные пароли. Использование сочетания букв, цифр и специальных символов затруднит взлом пароля. Старайтесь избегать очевидных вариантов, таких как замена S на символ $. Чем более случайны ваши строки, тем лучше.
• Воспользуйтесь менеджером паролей. Вы сможете предоставить каждому приложению, базе данных и службе отдельные пароли, не запоминая их все. Однако вы должны убедиться, что вы защищаете свой менеджер паролей надежным основным паролем.
• Защитите все устройства , которые вы используете для доступа к своим облачным данным, включая смартфоны и планшеты. Если ваши данные синхронизируются на множестве устройств, любое из них может быть слабым звеном, подвергающим риску весь ваш цифровой след.
• Регулярно выполняйте резервное копирование данных , чтобы в случае сбоя в работе облака или потери данных у поставщика облачных услуг вы могли полностью восстановить свои данные. Эта резервная копия может быть на вашем домашнем ПК, на внешнем жестком диске или даже из облака в облако, если вы уверены, что два поставщика облачных услуг не используют общую инфраструктуру.
• Измените разрешения , чтобы запретить любому человеку или устройству доступ ко всем вашим данным, если в этом нет необходимости. Например, предприятия будут делать это через настройки разрешений базы данных. Если у вас есть домашняя сеть, используйте гостевые сети для ваших детей, для устройств IoT и для вашего телевизора. Сохраните свой пропуск «Доступ ко всем областям» для собственного использования.
• Защитите себя с помощью антивирусного и антивирусного программного обеспечения . Хакеры могут легко получить доступ к вашей учетной записи, если вредоносное ПО проникнет в вашу систему.
• Избегайте доступа к своим данным через общедоступный Wi-Fi , особенно если он не использует строгую аутентификацию. Однако используйте виртуальную частную сеть (VPN), чтобы защитить свой шлюз в облако.

Облачное хранилище и обмен файлами

Риски безопасности облачных вычислений могут затронуть всех, от предприятий до отдельных потребителей. Например, потребители могут использовать общедоступное облако для хранения и резервного копирования файлов (с помощью служб SaaS, таких как Dropbox), для таких служб, как электронная почта и офисные приложения, или для создания налоговых форм и учетных записей.

Если вы используете облачные сервисы, вам, возможно, придется подумать о том, как вы делитесь облачными данными с другими, особенно если вы работаете консультантом или фрилансером. Хотя совместное использование файлов на Google Диске или другом сервисе может быть простым способом поделиться своей работой с клиентами, вам может потребоваться проверить правильность управления разрешениями. В конце концов, вам нужно убедиться, что разные клиенты не могут видеть имена или каталоги друг друга или изменять файлы друг друга.

Помните, что многие из этих общедоступных облачных сервисов хранения данных не шифруют данные.Если вы хотите защитить свои данные с помощью шифрования, вам нужно будет использовать программное обеспечение для шифрования, чтобы сделать это самостоятельно, прежде чем загружать данные. Затем вам придется дать своим клиентам ключ, иначе они не смогут читать файлы.

Проверьте безопасность своего облачного провайдера

Безопасность должна быть одним из основных моментов, которые следует учитывать при выборе поставщика облачной безопасности. Это потому, что ваша кибербезопасность больше не является только вашей ответственностью: компании, занимающиеся облачной безопасностью, должны внести свой вклад в создание безопасной облачной среды — и разделить ответственность за безопасность данных.

К сожалению, облачные компании не собираются давать вам чертежи своей сетевой безопасности. Это было бы равносильно тому, что банк предоставит вам подробную информацию о своем хранилище — вместе с комбинационными номерами в сейфе.

Однако правильные ответы на некоторые основные вопросы дают вам больше уверенности в безопасности ваших облачных ресурсов. Кроме того, вы будете лучше осведомлены о том, правильно ли ваш провайдер решил очевидные риски облачной безопасности. Мы рекомендуем задать вашему облачному провайдеру несколько вопросов из следующих вопросов:

• Аудиты безопасности: «Проводите ли вы регулярные внешние аудиты своей безопасности?»
• Сегментация данных: «Являются ли данные клиентов логически сегментированными и хранятся отдельно?»
• Шифрование: «Зашифрованы ли наши данные? Какие его части зашифрованы? »
• Хранение данных клиентов: «Какие политики хранения данных клиентов соблюдаются?»
• Хранение пользовательских данных: «Правильно ли удаляются мои данные, если я покину вашу облачную службу?»
• Управление доступом: «Как контролируются права доступа?»

Вы также должны убедиться, что прочитали условия обслуживания (TOS) вашего провайдера.Чтение TOS важно для понимания того, получаете ли вы именно то, что хотите и в чем нуждаетесь.

Убедитесь, что вы также знаете все услуги, которыми пользуется ваш провайдер. Если ваши файлы находятся в Dropbox или для них создана резервная копия в iCloud (облачное хранилище Apple), это вполне может означать, что они фактически хранятся на серверах Amazon. Итак, вам нужно будет проверить AWS, а также сервис, который вы используете напрямую.

Решения безопасности гибридного облака

Услуги безопасности гибридного облака могут быть очень разумным выбором для клиентов в SMB и корпоративных пространствах.Они наиболее подходят для малых и средних предприятий и корпоративных приложений, поскольку, как правило, слишком сложны для личного использования. Но именно эти организации могут использовать сочетание масштабируемости и доступности облака с локальным контролем конкретных данных.

Вот несколько преимуществ безопасности гибридных облачных систем безопасности:

Сегментация услуг может помочь организации контролировать доступ к своим данным и их хранение. Например, размещение более конфиденциальных данных на месте при переносе других данных, приложений и процессов в облако может помочь вам соответствующим образом повысить уровень безопасности.Кроме того, разделение данных может улучшить способность вашей организации соответствовать требованиям законодательства.

Избыточность также может выполняться через гибридные облачные среды. Используя ежедневные операции с общедоступных облачных серверов и резервное копирование систем на локальных серверах данных, организации могут продолжать свои операции в том случае, если один центр обработки данных отключен или заражен программой-вымогателем.

Решения облачной безопасности для малого и среднего бизнеса

Хотя предприятия могут настаивать на частном облаке — интернет-эквиваленте владения собственным офисным зданием или кампусом, — частные лица и малые предприятия должны управлять с помощью общедоступных облачных сервисов.Это все равно, что делить обслуживаемый офис или жить в многоквартирном доме с сотнями других арендаторов. Следовательно, ваша безопасность должна быть первоочередной задачей.

В приложениях для малого и среднего бизнеса вы обнаружите, что облачная безопасность в основном обеспечивается общедоступными поставщиками, которых вы используете.

Однако есть меры, которые вы можете предпринять, чтобы обезопасить себя:

• Многопользовательская сегментация данных: Компании должны быть уверены, что к их данным не могут получить доступ другие клиенты их поставщиков облачных услуг.Независимо от того, размещены ли они на сегментированных серверах или тщательно зашифрованы, убедитесь, что приняты меры по сегментации.
• Контроль доступа пользователей: Контроль разрешений может означать ограничение доступа пользователей до неудобного уровня. Однако ограничительный подход и работа в обратном направлении для поиска баланса может быть намного безопаснее, чем допускать проникновение свободных разрешений в вашу сеть.
• Соответствие юридических данных: Обеспечение соответствия ваших данных международным нормам, таким как GDPR, критически важно для предотвращения крупных штрафов и ущерба репутации.Убедитесь, что такие меры, как маскирование данных и классификация конфиденциальных данных, являются приоритетом для вашей организации.
• Тщательное масштабирование облачных систем: При быстром внедрении облачных систем не забудьте уделить время проверке систем вашей организации на безопасность, а не на удобство. Облачные сервисы могут быстро разрастаться до отсутствия регулирования.

Решения для корпоративной облачной безопасности

Поскольку облачные вычисления сейчас используются более чем 90% крупных предприятий, безопасность облака является жизненно важной частью корпоративной кибербезопасности.Услуги частного облака и другая более дорогостоящая инфраструктура могут оказаться жизнеспособными для организаций уровня предприятия. Тем не менее, вам все равно придется убедиться, что ваша внутренняя ИТ-служба работает над обслуживанием всей площади ваших сетей.

Для крупномасштабного корпоративного использования облачная безопасность может быть гораздо более гибкой, если вы сделаете некоторые инвестиции в свою инфраструктуру.

Следует помнить о нескольких важных выводах:

• Активно управляйте своими учетными записями и услугами : Если вы больше не пользуетесь услугами или программным обеспечением, закройте их должным образом.Хакеры могут получить легкий доступ ко всей облачной сети через старые бездействующие учетные записи через незащищенные уязвимости.
• Многофакторная аутентификация (MFA): Это могут быть биометрические данные, такие как отпечатки пальцев, или пароль и отдельный код, отправленные на ваше мобильное устройство. Это занимает много времени, но полезно для ваших самых конфиденциальных данных.
• Оцените рентабельность гибридного облака: Сегментирование данных гораздо важнее при использовании на предприятии, поскольку вы будете обрабатывать гораздо большие объемы данных.Вам необходимо убедиться, что ваши данные отделены от данных других клиентов, независимо от того, зашифрованы ли они отдельно или логически сегментированы для отдельного хранилища. В этом могут помочь гибридные облачные сервисы.
• Остерегайтесь теневых ИТ: Очень важно научить своих сотрудников избегать использования неавторизованных облачных сервисов в ваших сетях или для работы компании. Если конфиденциальные данные передаются по незащищенным каналам, ваша организация может подвергнуться воздействию злоумышленников или юридических проблем.

Итак, являетесь ли вы индивидуальным пользователем, пользователем SMB или даже пользователем облака уровня предприятия — важно убедиться, что ваша сеть и устройства максимально защищены.Это начинается с хорошего понимания базовой кибербезопасности на уровне отдельного пользователя, а также с обеспечения защиты вашей сети и всех устройств с помощью надежного решения безопасности, созданного для облака.

Связанные продукты:

Статьи по теме:

Что такое облачная безопасность? Определение и преимущества

При внедрении облачных технологий безопасность является одной из наиболее важных проблем.

Многие организации по-прежнему опасаются, что их данные не защищены в облачной среде.

Компании хотят применять к своим облачным системам такой же уровень безопасности, как и к своим внутренним ресурсам. Важно понимать и идентифицировать проблемы аутсорсинга защиты данных в облаке.

Что такое облачная безопасность?

Облачная безопасность — это набор мер безопасности на основе контроля и технологий защиты, предназначенных для защиты ресурсов, хранящихся в Интернете, от утечки, кражи или потери данных.

Protection охватывает облачную инфраструктуру, приложения и данные от угроз.Приложения безопасности работают как программное обеспечение в облаке с использованием модели «Программное обеспечение как услуга» (SaaS).

Темы, относящиеся к безопасности в облаке, включают:

Как вы управляете безопасностью в облаке?

Поставщики облачных услуг используют комбинацию методов для защиты ваших данных.

Межсетевые экраны — это основа облачной архитектуры. Брандмауэры защищают периметр вашей сетевой безопасности и ваших конечных пользователей. Брандмауэры также защищают трафик между различными приложениями, хранящимися в облаке.

Контроль доступа защищает данные, позволяя настраивать списки доступа для различных активов. Например, вы можете разрешить доступ к приложениям определенным сотрудникам, ограничив при этом доступ других. Общее правило — предоставлять сотрудникам доступ только к тем инструментам, которые им необходимы для выполнения их работы. Поддерживая строгий контроль доступа, вы можете защитить важные документы от злоумышленников или хакеров с украденными учетными данными.

Облачные провайдеры принимают меры для защиты передаваемых данных. Data Security методы включают виртуальные частные сети, шифрование или маскирование. Виртуальные частные сети (VPN) позволяют удаленным сотрудникам подключаться к корпоративным сетям. VPN позволяют использовать планшеты и смартфоны для удаленного доступа.

Маскирование данных шифрует идентифицируемую информацию, например имена. Это поддерживает целостность данных, сохраняя конфиденциальность важной информации. С маскированием данных медицинская компания может обмениваться данными, например, без нарушения законов HIPAA.

Анализ угроз выявляет угрозы безопасности и ранжирует их по степени важности. Эта функция помогает защитить критически важные активы от угроз.

Аварийное восстановление является ключом к безопасности, поскольку помогает восстанавливать утерянные или украденные данные.

Хотя ваш поставщик облачных услуг не является компонентом безопасности как таковой, он может потребовать соблюдения правил хранения данных. Некоторые страны требуют, чтобы данные хранились внутри их страны.Если в вашей стране есть это требование, вам необходимо убедиться, что у поставщика облачных услуг есть центры обработки данных в вашей стране.

Каковы преимущества облачной системы безопасности?

Теперь, когда вы понимаете, как работает безопасность облачных вычислений, изучите, как это приносит пользу вашему бизнесу.

Облачные системы безопасности приносят пользу вашему бизнесу за счет:

К основным угрозам для систем относятся вредоносное ПО, программы-вымогатели и DDos.

Нарушения вредоносных программ и программ-вымогателей

Вредоносное ПО представляет серьезную угрозу для бизнеса.

Более 90 процентов вредоносных программ передается по электронной почте. Часто бывает так убедительно, что сотрудники загружают вредоносное ПО, даже не подозревая об этом. После загрузки вредоносное ПО устанавливается в вашей сети, где оно может украсть файлы или повредить контент.

Ransomware — это разновидность вредоносного ПО, которое захватывает ваши данные и требует финансового выкупа. Компании вынуждены платить выкуп, потому что им нужно вернуть свои данные.

Избыточность данных, обеспечиваемая облаком, предлагает альтернативу уплате выкупа за ваши данные.Вы можете вернуть украденное с минимальным перерывом в обслуживании.

Многие облачные решения для защиты данных выявляют вредоносные программы и программы-вымогатели. Брандмауэры, фильтры спама и управление идентификацией помогают в этом. Это предотвращает попадание вредоносной электронной почты в почтовые ящики сотрудников.

Защита от DDoS-атак

При DDoS-атаке или распределенной атаке типа «отказ в обслуживании» ваша система переполняется запросами. Ваш веб-сайт начинает медленно загружаться, пока он не выйдет из строя, когда количество запросов слишком велико для обработки.

DDoS-атаки имеют серьезные побочные эффекты. Каждую минуту, когда ваш сайт недоступен, вы теряете деньги.

Половина компаний, пострадавших от DDoS-атак, теряет от 10 000 до 100 000 долларов. Многие компании страдают от ущерба репутации, когда клиенты теряют веру в бренд. Если конфиденциальные данные клиента будут потеряны в результате DDoS-атаки, вы можете столкнуться с юридическими проблемами.

Учитывая серьезность этих побочных эффектов, неудивительно, что некоторые компании закрываются после DDoS-атак. Учтите, что одна недавняя DDoS-атака длилась 12 дней, и вы почувствуете важность защиты.

Облачные службы безопасности активно контролируют облако для выявления атак и защиты от них. Предупреждая вашего облачного провайдера об атаке в режиме реального времени, они могут предпринять шаги для защиты ваших систем.

Обнаружение угроз

Security для облачных вычислений обеспечивает расширенное обнаружение угроз с помощью сканирования конечных точек на наличие угроз на уровне устройства. Сканирование конечных точек повышает безопасность устройств, имеющих доступ к вашей сети.

Соображения безопасности вычислений требуют усилий команды

Партнеры

Cloud предлагают явные преимущества перед внутренним хранилищем данных.Экономия на масштабе позволяет облачной службе инвестировать в новейшие решения безопасности, такие как машинное обучение. Поскольку облачные решения масштабируемы, ваш бизнес может приобретать все необходимое с возможностью обновления в любое время.

Теперь, когда вы знаете , что такое облачная безопасность , вы лучше понимаете, как поставщики услуг обеспечивают безопасность ваших больших данных.

Помните, что строгая политика безопасности должна определять, какие стратегии использует служба. Вам следует задавать вопросы, чтобы сравнить и убедиться, что вы защищаете критически важные бизнес-ресурсы.

.